学习ASP.NET Core的身份认证(基于JwtBearer的身份认证10)

基于Cookie传递token的主要思路是通过用户身份验证后,将生成的token保存到Response.Cookies返回客户端,后续客户端访问服务接口时会自动携带Cookie到服务端以便验证身份。之前一直搞不清楚的是服务端程序如何从Cookie读取token进行认证(一般都是将token放到header中以特定键值对形式自动验证身份),不过参考文献2中给出示例,主要是处理JwtBearerEvents.OnMessageReceived事件,该事件是接收到 protocol message时触发,此时可以从Cookie中取出token并将其赋予MessageReceivedContext.Token属性,以便支撑身份验证。主要代码如下所示:

csharp 复制代码
[HttpPost]
public async Task<ApiResult> LoginPlus([FromBody] UserInfo info)
{
    try
    {
        if (_dbClient.Queryable<AppUser>().Any(r => (r.Account == info.Name) && (r.Password == info.Password)))
        {
            AppUser curUser = _dbClient.Queryable<AppUser>().First(r => (r.Account == info.Name) && (r.Password == info.Password));
           
            ApiResult result = new ApiResult();
            result.UserName = curUser.Name;

            var cookieOptions = new CookieOptions
            {
                HttpOnly = true, 
                Secure = true, 
                Expires = DateTime.UtcNow.AddDays(7) 
            };
            Response.Cookies.Append("auth_token", GetToken(info.Name), cookieOptions);

            return result;
        }
        else
        {
            return new ApiResult("身份验证失败", 500, false);
        }
    }
    catch (Exception ex)
    {
        return new ApiResult(ex.Message, 500, false);
    }
}
csharp 复制代码
builder.Services.AddAuthentication(options =>
{
    ...
}).AddJwtBearer(options =>
{
    ...

    options.Events = new JwtBearerEvents
    {
        OnMessageReceived = context =>
        {
            var accessToken = context.Request.Cookies["auth_token"];

            if (!string.IsNullOrEmpty(accessToken))
            {
            	//Bearer Token. This will give the application an opportunity to 
            	//retrieve a token from an alternative location.
                context.Token = accessToken;
            }

            return Task.CompletedTask;
        }
    };
});

先在postman中进行验证,如下面两图所示,调用LoginPlus后,会在客户端Cookie中存储值为auth_token的token数据。


  调用另一需授权的服务时,不需要设置header,也不需要其它操作,postman会自动携带Cookie调用服务,也能正常调用并返回数据。如果手工删除Cookie,再调用服务时则会报401错误。

参考文献:

1\]百度AI智能问答,搜索条件:asp.net core 通过Cookie传递token \[2\]https://www.cnblogs.com/CreateMyself/p/15755657.html

相关推荐
坐望云起7 天前
ASP.NET Web的 Razor Pages应用,ajax调用记录以及Cookie配置
前端·ajax·asp.net·cookie·xsrf/csrf
pitt19979 天前
AI 大模型统一集成|微服务 + 认证中心:如何保障大模型 API 的安全调用!
微服务·spring security·cookie·session·大模型api·认证中心
Amd79423 天前
FastAPI Cookie 和 Header 参数完全指南:从基础到高级实战 🚀
fastapi·web开发·cookie·header·数据校验·安全性·api设计
予安灵1 个月前
《白帽子讲Web安全》学习:深入解析Cookie与会话安全
学习·安全·web安全·网络安全·网络攻击模型·cookie
起个破名想半天了1 个月前
Web自动化之Selenium添加网站Cookies实现免登录
python·selenium·cookie
gywl1 个月前
Spring Web MVC入门
spring·json·mvc·注解·cookie·session
安 当 加 密2 个月前
安当SLA操作系统登录双因素认证:全方位保障Windows系统登录安全
安全·数据安全·身份认证·双因素认证·操作系统登录双因素认证·ukey·otp动态口令
Amd7942 个月前
数据库安全管理中的用户和角色管理:打造安全高效的数据环境
用户管理·身份认证·数据库安全·权限控制·角色管理·数据库管理系统·安全最佳实践
gc_22992 个月前
学习ASP.NET Core的身份认证(基于JwtBearer的身份认证9)
身份认证·jwtbear