文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

JWT身份验证:.NET Core后台与Vue.js前端实现详解

2024-11-29 22:39

关注

概述:JSON Web Token(JWT)是一种用于安全传输信息的标准。主要用于身份验证和信息传递,通过头部、载荷和签名构成。在.NET Core中,可通过Microsoft.AspNetCore.Authentication.JwtBearer实现后台服务,提供生成、刷新和验证Token的接口。前端使用Vue.js结合axios发送请求,通过拦截器实现自动刷新Token,确保安全可靠的身份验证和信息传递。

什么是JWT?

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间传输信息的轻量级、自包含的标准。JWT由三部分组成:头部(Header)、载荷(Payload)、签名(Signature)。它通常被用于身份验证和信息传递。

{ "alg": "HS256", "typ": "JWT" }
{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }

JWT 主要用途

JWT主要用于在网络应用中安全地传递声明。常见用途包括身份认证和信息交换。生成的JWT可以被验证,信任,并且不易被篡改。

JWT 的原理

JWT的原理基于对称或非对称加密。生成JWT时,使用密钥对头部和载荷进行签名。验证时,接收到的JWT通过相同的过程重新计算签名,并与接收到的签名进行比较。由于签名使用密钥生成,只有拥有密钥的一方才能生成有效的签名。

JWT 应用场景

JWT 有哪几种传输方式

在 .NET Core 中使用 JWT

后台服务实现

安装 NuGet 包:

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer

配置 JWT 服务:

services.AddAuthentication(options =>
{
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(options =>
{
    options.TokenValidationParameters = new TokenValidationParameters
    {
        ValidateIssuer = false,
        ValidateAudience = false,
        ValidateLifetime = true,
        ValidateIssuerSigningKey = true,
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key"))
    };
});

添加授权中间件:

app.UseAuthentication();

生成 Token 接口:

[ApiController]
[Route("api/auth")]
public class AuthController : ControllerBase
{
    private readonly JwtService _jwtService;

    public AuthController(JwtService jwtService)
    {
        _jwtService = jwtService;
    }

    [HttpPost("login")]
    public IActionResult Login([FromBody] LoginRequest request)
    {
        // 验证用户名和密码,生成 ClaimsIdentity
        ClaimsIdentity identity = ...

        // 生成 JWT
        string token = _jwtService.GenerateToken(identity);

        return Ok(new { Token = token });
    }
}

刷新 Token 接口:

[Authorize]
[HttpPost("refresh")]
public IActionResult RefreshToken()
{
    // 从当前用户的 Claims 中获取信息,生成新的 Token
    ClaimsIdentity identity = ...

    string newToken = _jwtService.GenerateToken(identity);

    return Ok(new { Token = newToken });
}

验证 Token 接口:

[Authorize]
[HttpGet("protected")]
public IActionResult ProtectedResource()
{
    // 受保护的资源
    return Ok(new { Message = "This is a protected resource." });
}

前端 VUE 实现

安装 axios:

npm install axios

在 Vue 组件中使用 JWT:

import axios from 'axios';

// 每次请求前检查 Token 是否过期,如果过期则刷新
axios.interceptors.request.use(async (config) => {
    const token = localStorage.getItem('jwtToken');
    if (token) {
        // 检查 Token 是否过期
        const decodedToken = parseJwt(token);
        const currentTimestamp = Math.floor(Date.now() / 1000);

        if (decodedToken.exp < currentTimestamp) {
            // Token 过期,刷新 Token
            await refreshToken();
        }

        config.headers.Authorization = `Bearer ${token}`;
    }
    return config;
});

// 刷新 Token
async function refreshToken() {
    const token = localStorage.getItem('jwtToken');
    const response = await axios.post('api/auth/refresh', null, { headers: { Authorization: `Bearer ${token}` } });

    const newToken = response.data.Token;
    localStorage.setItem('jwtToken', newToken);
}

// 发送包含 JWT 的请求
async function sendRequest() {
    try {
        const response = await axios.get('api/auth/protected');
        console.log(response.data);
    } catch (error) {
        console.error('Request failed:', error);
    }
}

// 解析 JWT
function parseJwt(token) {
    const base64Url = token.split('.')[1];
    const base64 = base64Url.replace(/-/g, '+').replace(/_/g, '/');
    const jsonPayload = decodeURIComponent(atob(base64).split('').map(function(c) {
        return '%' + ('00' + c.charCodeAt(0).toString(16)).slice(-2);
    }).join(''));

    return JSON.parse(jsonPayload);
}

以上是一个简单的示例,实际应用中需要考虑更多的安全性和错误处理。确保在生产环境中使用 HTTPS 以保障数据传输的安全性。

来源:今日头条内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯