在aspnet core中,自定义jwt管道验证
有了上一节的内容作为基础,那这点也是非常容易的,关键点在中间件,只是把上一级在测试类中的自定义验证放到中间件中来即可,
不过需要注意:中间件 的位置很重要,只有它后面的管道才会收到影响;
那我们先建一个自定义中间件类:(中间件的详细内容这里就不讲了,大家可以参考官网和其他博文)
/// <summary> /// 自定义授权中间件 /// </summary> public class JwtCustomerAuthorizeMiddleware { private readonly RequestDelegate next; public JwtCustomerAuthorizeMiddleware(RequestDelegate next, string secret, List<string> anonymousPathList) { #region 设置自定义jwt 的秘钥 if(!string.IsNullOrEmpty(secret)) { TokenContext.securityKey = secret; } #endregion this.next = next; UserContext.AllowAnonymousPathList.AddRange(anonymousPathList); } public async Task Invoke(HttpContext context, UserContext userContext,IOptions<JwtOption> optionContainer) { if (userContext.IsAllowAnonymous(context.Request.Path)) { await next(context); return; } var option = optionContainer.Value; #region 身份验证,并设置用户Ruser值 var result = context.Request.Headers.TryGetValue("Authorization", out StringValues authStr); if (!result || string.IsNullOrEmpty(authStr.ToString())) { throw new UnauthorizedAccessException("未授权"); } result = TokenContext.Validate(authStr.ToString().Substring("Bearer ".Length).Trim(), payLoad => { var success = true; //可以添加一些自定义验证,用法参照测试用例 //验证是否包含aud 并等于 roberAudience success = success && payLoad["aud"]?.ToString() == option.Audience; if (success) { //设置Ruse值,把user信息放在payLoad中,(在获取jwt的时候把当前用户存放在payLoad的ruser键中) //如果用户信息比较多,建议放在缓存中,payLoad中存放缓存的Key值 userContext.TryInit(payLoad["ruser"]?.ToString()); } return success; }); if (!result) { throw new UnauthorizedAccessException("未授权"); } #endregion #region 权限验证 if (!userContext.Authorize(context.Request.Path)) { throw new UnauthorizedAccessException("未授权"); } #endregion await next(context); } }
上面这个中间件中有个UserContext上线文,这个类主要管理当前用户信息和权限,其他信息暂时不管;我们先看一下这个中间件的验证流程如何:
该中间件主要是针对访问的路径进行验证,当然你也可以针对其他信息进行验证,比如(控制器名称,动作名称,等)
检查当前url是否可以匿名访问,如果可以就直接通过,不做验证了;如果不是可以匿名访问的路径,那就继续
获取当前http头部携带的jwt(存放在头部的 Authorization中);
使用上一节的讲的TokenContext做必须的验证和自定义复杂验证;
获取当前访问用户信息,我们把用户的基本信息放在payLoad["ruser"]中,请看代码如何操作
到这里为止,都是做的身份验证,表明你是一个有身份的的人;接下来是做权限验证,你是一个有身份的人,并不代表你是一个随便到处访问的人;你能访问哪些url或者action,就要得到权限验证的认可
我们把权限验证放到 userContext.Authorize方法中(这里怎么操作,这里就不深入讲解,基本原理是从数据库或者缓存中获取当前用户对应的权限列表,也就是url列表,进行对比);
自定义中间件使用jwt验证就这些内容,是不是感觉很清晰,很简单,有木有;
中间已经完成了,那接下来我们来使用它,我们再startup中的Configure方法中添加如下代码
app.UseMiddleware<JwtCustomerAuthorizeMiddleware>(Configuration["JwtOption:SecurityKey"], new List<string>() { "/api/values/getjwt","https://www.jb51.net/" });
当然上面可匿名访问的url也可以定义在appsetting.json文件中,可以自行尝试
如何通过自定义策略形式实现自定义jwt验证
创建自定义策略的详细介绍可以参考官网,这里就不详细介绍,
首先我们上代码,创建自定义策略非常重要的两个类,如下:
public class CommonAuthorizeHandler : AuthorizationHandler<CommonAuthorize> { /// <summary> /// 常用自定义验证策略,模仿自定义中间件JwtCustomerauthorizeMiddleware的验证范围 /// </summary> /// <param></param> /// <param></param> /// <returns></returns> protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CommonAuthorize requirement) { var httpContext = (context.Resource as AuthorizationFilterContext).HttpContext; var userContext = httpContext.RequestServices.GetService(typeof(UserContext)) as UserContext; var jwtOption = (httpContext.RequestServices.GetService(typeof(IOptions<JwtOption>)) as IOptions<JwtOption>).Value; #region 身份验证,并设置用户Ruser值 var result = httpContext.Request.Headers.TryGetValue("Authorization", out StringValues authStr); if (!result || string.IsNullOrEmpty(authStr.ToString())) { return Task.CompletedTask; } result = TokenContext.Validate(authStr.ToString().Substring("Bearer ".Length).Trim(), payLoad => { var success = true; //可以添加一些自定义验证,用法参照测试用例 //验证是否包含aud 并等于 roberAudience success = success && payLoad["aud"]?.ToString() == jwtOption.Audience; if (success) { //设置Ruse值,把user信息放在payLoad中,(在获取jwt的时候把当前用户存放在payLoad的ruser键中) //如果用户信息比较多,建议放在缓存中,payLoad中存放缓存的Key值 userContext.TryInit(payLoad["ruser"]?.ToString()); } return success; }); if (!result) { return Task.CompletedTask; } #endregion #region 权限验证 if (!userContext.Authorize(httpContext.Request.Path)) { return Task.CompletedTask; } #endregion context.Succeed(requirement); return Task.CompletedTask; } } public class CommonAuthorize: IAuthorizationRequirement { }
其中两个重要的类是哪两个呢?他们的作用又是什么呢?