如何在沒有 OWIN 中間件的情況下在 ASP.NET Web API 中實作 JWT 驗證？-C++-PHP中文網

首頁

後端開發

C++

如何在沒有 OWIN 中間件的情況下在 ASP.NET Web API 中實作 JWT 驗證？

Barbara Streisand

Jan 20, 2025 pm 10:39 PM

How to Implement JWT Authentication in ASP.NET Web API Without OWIN Middleware?

在無OWIN中間件的ASP.NET Web API中實作JWT驗證

本文介紹如何在舊版ASP.NET Web API中，無需OWIN中間件即可實現JWT驗證。核心原理是頒發JWT令牌並在收到請求時驗證它們。

令牌產生端點

提供一個令牌端點，使用者可以在該端點取得JWT令牌，例如使用控制器操作的簡單實作：

public class TokenController : ApiController
{
    [AllowAnonymous]
    public string Get(string username, string password)
    {
        if (CheckUser(username, password))
        {
            return JwtManager.GenerateToken(username);
        }

        throw new HttpResponseException(HttpStatusCode.Unauthorized);
    }

    private bool CheckUser(string username, string password)
    {
        // 应在数据库中进行检查
        return true; //  此处应替换为实际的用户验证逻辑
    }
}

使用System.IdentityModel.Tokens.Jwt產生令牌

使用System.IdentityModel.Tokens.Jwt NuGet套件與HMACSHA256對稱金鑰產生令牌：

/// <summary>
/// 使用以下代码生成对称密钥
///     var hmac = new HMACSHA256();
///     var key = Convert.ToBase64String(hmac.Key);
/// </summary>
private const string Secret = "db3OIsj+BXE9NZDy0t8W3TcNekrF+2d/1sFnWG4HnV8TZY30iTOdtVWJG8abWvB1GlOgJuQZdcF2Luqm/hccMw==";

public static string GenerateToken(string username, int expireMinutes = 20)
{
    var symmetricKey = Convert.FromBase64String(Secret);
    var tokenHandler = new JwtSecurityTokenHandler();

    var now = DateTime.UtcNow;
    var tokenDescriptor = new SecurityTokenDescriptor
    {
        Subject = new ClaimsIdentity(new[]
        {
            new Claim(ClaimTypes.Name, username)
        }),

        Expires = now.AddMinutes(expireMinutes),

        SigningCredentials = new SigningCredentials(
            new SymmetricSecurityKey(symmetricKey),
            SecurityAlgorithms.HmacSha256Signature)
    };

    var stoken = tokenHandler.CreateToken(tokenDescriptor);
    var token = tokenHandler.WriteToken(stoken);

    return token;
}

使用驗證過濾器進行JWT驗證

為了進行JWT驗證，建立一個繼承自IAuthenticationFilter的自訂驗證篩選器：

public class ValueController : ApiController
{
    [JwtAuthentication] // 自定义过滤器属性
    public string Get()
    {
        return "value";
    }
}

在驗證過濾器中，實作驗證邏輯並傳回ClaimsPrincipal：

protected Task<IPrincipal> AuthenticateJwtToken(string token)
{
    string username;

    if (ValidateToken(token, out username))
    {
        // 基于用户名，从数据库获取更多信息以构建本地标识
        var claims = new List<Claim>
        {
            new Claim(ClaimTypes.Name, username)
            // 根据需要添加更多声明：角色等
        };

        var identity = new ClaimsIdentity(claims, "Jwt");
        IPrincipal user = new ClaimsPrincipal(identity);

        return Task.FromResult(user);
    }

    return Task.FromResult<IPrincipal>(null);
}

使用JWT庫進行JWT驗證

為了驗證JWT令牌並取得ClaimsPrincipal，可以使用JWT函式庫：

public static ClaimsPrincipal GetPrincipal(string token)
{
    try
    {
        var tokenHandler = new JwtSecurityTokenHandler();
        var jwtToken = tokenHandler.ReadToken(token) as JwtSecurityToken;

        if (jwtToken == null)
            return null;

        var symmetricKey = Convert.FromBase64String(Secret);

        var validationParameters = new TokenValidationParameters()
        {
            RequireExpirationTime = true,
            ValidateIssuer = false,
            ValidateAudience = false,
            IssuerSigningKey = new SymmetricSecurityKey(symmetricKey)
        };

        SecurityToken securityToken;
        var principal = tokenHandler.ValidateToken(token, validationParameters, out securityToken);

        return principal;
    }
    catch (Exception)
    {
        // 应写入日志
        return null;
    }
}

授權

為了防止匿名要求，加入以下全域設定：

config.Filters.Add(new AuthorizeAttribute());

Postman檢定

使用Postman請求令牌：

<code>GET http://localhost:{port}/api/token?username=cuong&password=1</code>

在授權請求的標頭中使用取得的JWT令牌：

<code>GET http://localhost:{port}/api/value

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1bmlxdWVfbmFtZSI6ImN1b25nIiwibmJmIjoxNDc3NTY1MjU4LCJleHAiOjE0Nzc1NjY0NTgsImlhdCI6MTQ3NzU2NTI1OH0.dSwwufd4-gztkLpttZsZ1255oEzpWCJkayR_4yvNL1s</code>

請注意，程式碼中的CheckUser方法和錯誤處理部分需要根據實際應用進行完善。 Secret 密鑰也應該儲存在更安全的地方，而不是直接硬編碼在程式碼中。這只是一個簡化的範例，實際應用中需要考慮更全面的安全性和錯誤處理機制。

以上是如何在沒有 OWIN 中間件的情況下在 ASP.NET Web API 中實作 JWT 驗證？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

在C中掌握多態性：深度潛水May 14, 2025 am 12:13 AM

掌握C 中的多态性可以显著提高代码的灵活性和可维护性。1)多态性允许不同类型的对象被视为同一基础类型的对象。2)通过继承和虚拟函数实现运行时多态性。3)多态性支持代码扩展而不修改现有类。4)使用CRTP实现编译时多态性可提升性能。5)智能指针有助于资源管理。6)基类应有虚拟析构函数。7)性能优化需先进行代码分析。

C Destructors vs垃圾收集器：有什麼區別？May 13, 2025 pm 03:25 PM

C DestructorSprovidePreciseControloverResourCemangement，whergarBageCollectorSautomateMoryManagementbutintroduceunPredicational.c Destructors：1）允許CustomCleanUpactionsWhenObextionsWhenObextSaredSaredEstRoyed，2）RorreasereSouresResiorSouresiorSourseResiorMeymemsmedwhenEbegtsGoOutofScop

C和XML：在項目中集成數據May 10, 2025 am 12:18 AM

在C 項目中集成XML可以通過以下步驟實現：1)使用pugixml或TinyXML庫解析和生成XML文件，2)選擇DOM或SAX方法進行解析，3)處理嵌套節點和多級屬性，4)使用調試技巧和最佳實踐優化性能。

在C中使用XML：庫和工具指南May 09, 2025 am 12:16 AM

在C 中使用XML是因為它提供了結構化數據的便捷方式，尤其在配置文件、數據存儲和網絡通信中不可或缺。 1)選擇合適的庫，如TinyXML、pugixml、RapidXML，根據項目需求決定。 2)了解XML解析和生成的兩種方式：DOM適合頻繁訪問和修改，SAX適用於大文件或流數據。 3)優化性能時，TinyXML適合小文件，pugixml在內存和速度上表現好，RapidXML處理大文件優異。

C＃和C：探索不同的範例May 08, 2025 am 12:06 AM

C#和C 的主要區別在於內存管理、多態性實現和性能優化。 1）C#使用垃圾回收器自動管理內存，C 則需要手動管理。 2）C#通過接口和虛方法實現多態性，C 使用虛函數和純虛函數。 3）C#的性能優化依賴於結構體和並行編程，C 則通過內聯函數和多線程實現。

C XML解析：技術和最佳實踐May 07, 2025 am 12:06 AM

C 中解析XML數據可以使用DOM和SAX方法。 1)DOM解析將XML加載到內存，適合小文件，但可能佔用大量內存。 2)SAX解析基於事件驅動，適用於大文件，但無法隨機訪問。選擇合適的方法並優化代碼可提高效率。

c在特定領域：探索其據點May 06, 2025 am 12:08 AM

C 在遊戲開發、嵌入式系統、金融交易和科學計算等領域中的應用廣泛，原因在於其高性能和靈活性。 1)在遊戲開發中，C 用於高效圖形渲染和實時計算。 2)嵌入式系統中，C 的內存管理和硬件控制能力使其成為首選。 3)金融交易領域，C 的高性能滿足實時計算需求。 4)科學計算中，C 的高效算法實現和數據處理能力得到充分體現。