如何在没有 OWIN 中间件的情况下在 ASP.NET Web API 中实现 JWT 身份验证？-C++-PHP中文网

首页

后端开发

C++

如何在没有 OWIN 中间件的情况下在 ASP.NET Web API 中实现 JWT 身份验证？

Barbara Streisand

Jan 20, 2025 pm 10:39 PM

How to Implement JWT Authentication in ASP.NET Web API Without OWIN Middleware?

在无OWIN中间件的ASP.NET Web API中实现JWT身份验证

本文介绍如何在旧版ASP.NET Web API中，无需OWIN中间件即可实现JWT身份验证。核心原理是颁发JWT令牌并在收到请求时验证它们。

令牌生成端点

提供一个令牌端点，用户可以在该端点获取JWT令牌，例如使用控制器操作的简单实现：

public class TokenController : ApiController
{
    [AllowAnonymous]
    public string Get(string username, string password)
    {
        if (CheckUser(username, password))
        {
            return JwtManager.GenerateToken(username);
        }

        throw new HttpResponseException(HttpStatusCode.Unauthorized);
    }

    private bool CheckUser(string username, string password)
    {
        // 应在数据库中进行检查
        return true; //  此处应替换为实际的用户验证逻辑
    }
}

使用System.IdentityModel.Tokens.Jwt生成令牌

使用System.IdentityModel.Tokens.Jwt NuGet包和HMACSHA256对称密钥生成令牌：

/// <summary>
/// 使用以下代码生成对称密钥
///     var hmac = new HMACSHA256();
///     var key = Convert.ToBase64String(hmac.Key);
/// </summary>
private const string Secret = "db3OIsj+BXE9NZDy0t8W3TcNekrF+2d/1sFnWG4HnV8TZY30iTOdtVWJG8abWvB1GlOgJuQZdcF2Luqm/hccMw==";

public static string GenerateToken(string username, int expireMinutes = 20)
{
    var symmetricKey = Convert.FromBase64String(Secret);
    var tokenHandler = new JwtSecurityTokenHandler();

    var now = DateTime.UtcNow;
    var tokenDescriptor = new SecurityTokenDescriptor
    {
        Subject = new ClaimsIdentity(new[]
        {
            new Claim(ClaimTypes.Name, username)
        }),

        Expires = now.AddMinutes(expireMinutes),

        SigningCredentials = new SigningCredentials(
            new SymmetricSecurityKey(symmetricKey),
            SecurityAlgorithms.HmacSha256Signature)
    };

    var stoken = tokenHandler.CreateToken(tokenDescriptor);
    var token = tokenHandler.WriteToken(stoken);

    return token;
}

使用身份验证过滤器进行JWT验证

为了进行JWT验证，创建一个继承自IAuthenticationFilter的自定义身份验证过滤器：

public class ValueController : ApiController
{
    [JwtAuthentication] // 自定义过滤器属性
    public string Get()
    {
        return "value";
    }
}

在身份验证过滤器中，实现验证逻辑并返回ClaimsPrincipal：

protected Task<IPrincipal> AuthenticateJwtToken(string token)
{
    string username;

    if (ValidateToken(token, out username))
    {
        // 基于用户名，从数据库获取更多信息以构建本地标识
        var claims = new List<Claim>
        {
            new Claim(ClaimTypes.Name, username)
            // 根据需要添加更多声明：角色等
        };

        var identity = new ClaimsIdentity(claims, "Jwt");
        IPrincipal user = new ClaimsPrincipal(identity);

        return Task.FromResult(user);
    }

    return Task.FromResult<IPrincipal>(null);
}

使用JWT库进行JWT验证

为了验证JWT令牌并获取ClaimsPrincipal，可以使用JWT库：

public static ClaimsPrincipal GetPrincipal(string token)
{
    try
    {
        var tokenHandler = new JwtSecurityTokenHandler();
        var jwtToken = tokenHandler.ReadToken(token) as JwtSecurityToken;

        if (jwtToken == null)
            return null;

        var symmetricKey = Convert.FromBase64String(Secret);

        var validationParameters = new TokenValidationParameters()
        {
            RequireExpirationTime = true,
            ValidateIssuer = false,
            ValidateAudience = false,
            IssuerSigningKey = new SymmetricSecurityKey(symmetricKey)
        };

        SecurityToken securityToken;
        var principal = tokenHandler.ValidateToken(token, validationParameters, out securityToken);

        return principal;
    }
    catch (Exception)
    {
        // 应写入日志
        return null;
    }
}

授权

为了防止匿名请求，添加以下全局配置：

config.Filters.Add(new AuthorizeAttribute());

Postman测试

使用Postman请求令牌：

<code>GET http://localhost:{port}/api/token?username=cuong&password=1</code>

在授权请求的标头中使用获取的JWT令牌：

<code>GET http://localhost:{port}/api/value

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1bmlxdWVfbmFtZSI6ImN1b25nIiwibmJmIjoxNDc3NTY1MjU4LCJleHAiOjE0Nzc1NjY0NTgsImlhdCI6MTQ3NzU2NTI1OH0.dSwwufd4-gztkLpttZsZ1255oEzpWCJkayR_4yvNL1s</code>

请注意，代码中的CheckUser方法和错误处理部分需要根据实际应用进行完善。 Secret 密钥也应该存储在更安全的地方，而不是直接硬编码在代码中。这只是一个简化的示例，实际应用中需要考虑更全面的安全性和错误处理机制。

以上是如何在没有 OWIN 中间件的情况下在 ASP.NET Web API 中实现 JWT 身份验证？的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

C在现代世界中：应用和行业Apr 23, 2025 am 12:10 AM

C 在现代世界中的应用广泛且重要。1)在游戏开发中，C 因其高性能和多态性被广泛使用，如UnrealEngine和Unity。2)在金融交易系统中，C 的低延迟和高吞吐量使其成为首选，适用于高频交易和实时数据分析。

C XML库：比较和对比选项Apr 22, 2025 am 12:05 AM

C 中有四种常用的XML库：TinyXML-2、PugiXML、Xerces-C 和RapidXML。1.TinyXML-2适合资源有限的环境，轻量但功能有限。2.PugiXML快速且支持XPath查询，适用于复杂XML结构。3.Xerces-C 功能强大，支持DOM和SAX解析，适用于复杂处理。4.RapidXML专注于性能，解析速度极快，但不支持XPath查询。

C和XML：探索关系和支持Apr 21, 2025 am 12:02 AM

C 通过第三方库（如TinyXML、Pugixml、Xerces-C ）与XML交互。1)使用库解析XML文件，将其转换为C 可处理的数据结构。2)生成XML时，将C 数据结构转换为XML格式。3)在实际应用中，XML常用于配置文件和数据交换，提升开发效率。

C＃vs. C：了解关键差异和相似之处Apr 20, 2025 am 12:03 AM

C#和C 的主要区别在于语法、性能和应用场景。1)C#语法更简洁，支持垃圾回收，适用于.NET框架开发。2)C 性能更高，需手动管理内存，常用于系统编程和游戏开发。

C＃与C：历史，进化和未来前景Apr 19, 2025 am 12:07 AM

C#和C 的历史与演变各有特色，未来前景也不同。1.C 由BjarneStroustrup在1983年发明，旨在将面向对象编程引入C语言，其演变历程包括多次标准化，如C 11引入auto关键字和lambda表达式，C 20引入概念和协程，未来将专注于性能和系统级编程。2.C#由微软在2000年发布，结合C 和Java的优点，其演变注重简洁性和生产力，如C#2.0引入泛型，C#5.0引入异步编程，未来将专注于开发者的生产力和云计算。