在普通的MVC項(xiàng)目中 我們普遍的使用Cookie來(lái)作為認(rèn)證授權(quán)方式，使用簡(jiǎn)單。登錄成功后將用戶信息寫入Cookie；但當(dāng)我們做WebApi的時(shí)候顯然Cookie這種方式就有點(diǎn)不適用了。

在dotnet core 中 WebApi中目前比較流行的認(rèn)證授權(quán)方式是Jwt??(Json Web Token) 技術(shù)。Jwt 是一種無(wú)狀態(tài)的分布式身份驗(yàn)證方式，Jwt 是將用戶登錄信息加密后存放到返回的Token中 ，相當(dāng)于用戶信息是存儲(chǔ)在客戶端。Jwt的加密方式有兩種 ：對(duì)稱加密與非對(duì)稱加密，非對(duì)稱加密即?RSA 加密的方式。

自己手寫認(rèn)證授權(quán)代碼和Jwt的思路是一樣的；不同之處在于：

1、加密方式僅僅是采用的對(duì)稱加密方式 簡(jiǎn)單高效。哈哈！(弊端就是沒(méi)有非對(duì)稱加密更安全)；

2、用戶登錄信息主要保存在Redis中，即服務(wù)端。

自己寫的好處：

1、擴(kuò)展性強(qiáng)，可根據(jù)自己的需要進(jìn)行各種擴(kuò)展，比如在驗(yàn)證授權(quán)時(shí)可很方便的添加多設(shè)備登錄擠下線功能等。

2、可隨時(shí)調(diào)整用戶的Token失效時(shí)間。

認(rèn)證及授權(quán)流程

1、先請(qǐng)求登錄接口，登錄成功，為用戶產(chǎn)生一個(gè)Token，

登錄獲取Token　圖片中ticket字段。

?

2、 客戶端拿到Token在其他請(qǐng)求中將Token信息添加到請(qǐng)求頭中傳遞到服務(wù)端。

開(kāi)發(fā)思路

1、添加一個(gè)過(guò)濾器。在Startup 中ConfigureServices方法里添加一個(gè)Filters 即我們自己授權(quán)代碼類。

添加過(guò)濾器之后我們的每次請(qǐng)求都會(huì)優(yōu)先執(zhí)行過(guò)濾器的代碼。在這里我們就可以判斷用戶是否已經(jīng)登錄，從而進(jìn)行攔截沒(méi)有授權(quán)的的請(qǐng)求。

2、登錄并獲取Token

由于添加了IAuthorizationFilter類型的過(guò)濾器，所以每個(gè)請(qǐng)求都會(huì)被攔截。所以登錄接口我們需要允許匿名訪問(wèn)。

3、加解密Token

加密：登錄成功后就要產(chǎn)生個(gè)Token了，產(chǎn)生也簡(jiǎn)單。將用戶的唯一信息比如uid或者guid進(jìn)行對(duì)稱式加密。當(dāng)然如果需要對(duì)登錄設(shè)備做區(qū)分或者多設(shè)備登錄擠下線功能時(shí)最好也將登錄設(shè)備一起加密進(jìn)去。

我們都知道 在加密中一般情況下只要加密的數(shù)據(jù)及加密key不變；那么加密后的內(nèi)容也會(huì)一直保持不變。如果我們每次登錄產(chǎn)生的Token一直沒(méi)有任何變化只要這個(gè)Token被泄露了那將很危險(xiǎn)的。竟然我們希望每次登錄產(chǎn)生的Token都有變化。那就要改變加密數(shù)據(jù)或者加密key了。加密數(shù)據(jù)是用戶唯一信息這個(gè)顯然不可能產(chǎn)生變化。所以我們能改變的地方只能是加密key了；我們采用固定key+隨機(jī)key的方式。

因?yàn)榧用躪ey在我們解密時(shí)也是需要一一對(duì)應(yīng)的。所以我們得想辦法將我們的隨機(jī)key告訴我們解密的代碼中。辦法就是 我們將加密后的內(nèi)容(一般情況進(jìn)行base64編碼)再加上隨機(jī)key。(隨機(jī)key一定是固定長(zhǎng)度 不然后面無(wú)法解析拆分)

比如加密內(nèi)容是guid=73e01eab-210d-4d19-a72a-d0d64e053ec0+client=ios? 固定key=123654+隨機(jī)key=FEZaaWbyimaWiJHah?

即加密過(guò)程:

加密(73e01eab-210d-4d19-a72a-d0d64e053ec0&ios,123654FEZaaWbyimaWiJHah)=M0EzM0ZGRjk2QzgwRDY2RDJDMTdFOEJGRUE0NDI3NEE1RDlFNkU4NDQ0MERFNEIyMkQ5QjM4MjAxODcwj加隨機(jī)keyFEZaaWbyimaWiJHah

所以我們返回給用戶的Token實(shí)際上是包含了隨機(jī)key的。當(dāng)然這個(gè)隨機(jī)key只有我們自己知道。因?yàn)殡S機(jī)key的長(zhǎng)度以及位置只有我們自己知道。這種方式即使我們固定key被泄露了 只要?jiǎng)e人不知道我們隨機(jī)key處理方法也無(wú)濟(jì)于事。

解密：知道加密過(guò)程后就好解密了。拿到用戶提交的Token后首先按照隨機(jī)key的固定位置進(jìn)行截取。將加密內(nèi)容和隨機(jī)key拆開(kāi)。然后將固定key和隨機(jī)key組合一起解密加密的內(nèi)容，取得用戶guid和登錄的客戶端類型。

完整加解密代碼

代碼中的ticket代表本文中的Token。代碼中使用的是DES加解密

完整demo代碼請(qǐng)看github

https://github.com/cfan1236/NetCoreAuthorize

原文地址:https://www.cnblogs.com/rui1236/p/10226063.html

---

.NET社區(qū)新聞，深度好文，歡迎訪問(wèn)公眾號(hào)文章匯總 http://www.csharpkit.com

總結(jié)

以上是生活随笔為你收集整理的手写AspNetCore 认证授权代码的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。