如何在没有 OWIN 中间件的情况下在 ASP.NET Web API 中实现 JWT 身份验证？-C++-PHP中文网

首页

后端开发

C++

如何在没有 OWIN 中间件的情况下在 ASP.NET Web API 中实现 JWT 身份验证？

Barbara Streisand

Jan 20, 2025 pm 10:39 PM

How to Implement JWT Authentication in ASP.NET Web API Without OWIN Middleware?

在无OWIN中间件的ASP.NET Web API中实现JWT身份验证

本文介绍如何在旧版ASP.NET Web API中，无需OWIN中间件即可实现JWT身份验证。核心原理是颁发JWT令牌并在收到请求时验证它们。

令牌生成端点

提供一个令牌端点，用户可以在该端点获取JWT令牌，例如使用控制器操作的简单实现：

public class TokenController : ApiController
{
    [AllowAnonymous]
    public string Get(string username, string password)
    {
        if (CheckUser(username, password))
        {
            return JwtManager.GenerateToken(username);
        }

        throw new HttpResponseException(HttpStatusCode.Unauthorized);
    }

    private bool CheckUser(string username, string password)
    {
        // 应在数据库中进行检查
        return true; //  此处应替换为实际的用户验证逻辑
    }
}

登录后复制

使用System.IdentityModel.Tokens.Jwt生成令牌

使用System.IdentityModel.Tokens.Jwt NuGet包和HMACSHA256对称密钥生成令牌：

/// <summary>
/// 使用以下代码生成对称密钥
///     var hmac = new HMACSHA256();
///     var key = Convert.ToBase64String(hmac.Key);
/// </summary>
private const string Secret = "db3OIsj+BXE9NZDy0t8W3TcNekrF+2d/1sFnWG4HnV8TZY30iTOdtVWJG8abWvB1GlOgJuQZdcF2Luqm/hccMw==";

public static string GenerateToken(string username, int expireMinutes = 20)
{
    var symmetricKey = Convert.FromBase64String(Secret);
    var tokenHandler = new JwtSecurityTokenHandler();

    var now = DateTime.UtcNow;
    var tokenDescriptor = new SecurityTokenDescriptor
    {
        Subject = new ClaimsIdentity(new[]
        {
            new Claim(ClaimTypes.Name, username)
        }),

        Expires = now.AddMinutes(expireMinutes),

        SigningCredentials = new SigningCredentials(
            new SymmetricSecurityKey(symmetricKey),
            SecurityAlgorithms.HmacSha256Signature)
    };

    var stoken = tokenHandler.CreateToken(tokenDescriptor);
    var token = tokenHandler.WriteToken(stoken);

    return token;
}

登录后复制

使用身份验证过滤器进行JWT验证

为了进行JWT验证，创建一个继承自IAuthenticationFilter的自定义身份验证过滤器：

public class ValueController : ApiController
{
    [JwtAuthentication] // 自定义过滤器属性
    public string Get()
    {
        return "value";
    }
}

登录后复制

在身份验证过滤器中，实现验证逻辑并返回ClaimsPrincipal：

protected Task<IPrincipal> AuthenticateJwtToken(string token)
{
    string username;

    if (ValidateToken(token, out username))
    {
        // 基于用户名，从数据库获取更多信息以构建本地标识
        var claims = new List<Claim>
        {
            new Claim(ClaimTypes.Name, username)
            // 根据需要添加更多声明：角色等
        };

        var identity = new ClaimsIdentity(claims, "Jwt");
        IPrincipal user = new ClaimsPrincipal(identity);

        return Task.FromResult(user);
    }

    return Task.FromResult<IPrincipal>(null);
}

登录后复制

使用JWT库进行JWT验证

为了验证JWT令牌并获取ClaimsPrincipal，可以使用JWT库：

public static ClaimsPrincipal GetPrincipal(string token)
{
    try
    {
        var tokenHandler = new JwtSecurityTokenHandler();
        var jwtToken = tokenHandler.ReadToken(token) as JwtSecurityToken;

        if (jwtToken == null)
            return null;

        var symmetricKey = Convert.FromBase64String(Secret);

        var validationParameters = new TokenValidationParameters()
        {
            RequireExpirationTime = true,
            ValidateIssuer = false,
            ValidateAudience = false,
            IssuerSigningKey = new SymmetricSecurityKey(symmetricKey)
        };

        SecurityToken securityToken;
        var principal = tokenHandler.ValidateToken(token, validationParameters, out securityToken);

        return principal;
    }
    catch (Exception)
    {
        // 应写入日志
        return null;
    }
}

登录后复制

授权

为了防止匿名请求，添加以下全局配置：

config.Filters.Add(new AuthorizeAttribute());

登录后复制

Postman测试

使用Postman请求令牌：

<code>GET http://localhost:{port}/api/token?username=cuong&password=1</code>

登录后复制

在授权请求的标头中使用获取的JWT令牌：

<code>GET http://localhost:{port}/api/value

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1bmlxdWVfbmFtZSI6ImN1b25nIiwibmJmIjoxNDc3NTY1MjU4LCJleHAiOjE0Nzc1NjY0NTgsImlhdCI6MTQ3NzU2NTI1OH0.dSwwufd4-gztkLpttZsZ1255oEzpWCJkayR_4yvNL1s</code>

登录后复制

请注意，代码中的CheckUser方法和错误处理部分需要根据实际应用进行完善。 Secret 密钥也应该存储在更安全的地方，而不是直接硬编码在代码中。这只是一个简化的示例，实际应用中需要考虑更全面的安全性和错误处理机制。

以上是如何在没有 OWIN 中间件的情况下在 ASP.NET Web API 中实现 JWT 身份验证？的详细内容。更多信息请关注PHP中文网其他相关文章！

本站声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

热AI工具

热工具

热门话题

gmail邮箱登陆入口在哪里

7773

Java教程

1644

CakePHP 教程

1399

Laravel 教程

1296

PHP教程

1234

显示更多

Related knowledge

C语言数据结构：树和图的数据表示与操作 Apr 04, 2025 am 11:18 AM

C语言数据结构：树和图的数据表示与操作树是一个层次结构的数据结构由节点组成，每个节点包含一个数据元素和指向其子节点的指针二叉树是一种特殊类型的树，其中每个节点最多有两个子节点数据表示structTreeNode{intdata;structTreeNode*left;structTreeNode*right;};操作创建树遍历树（先序、中序、后序）搜索树插入节点删除节点图是一个集合的数据结构，其中的元素是顶点，它们通过边连接在一起边可以是带权或无权的数据表示邻

C语言文件操作难题的幕后真相 Apr 04, 2025 am 11:24 AM

文件操作难题的真相：文件打开失败：权限不足、路径错误、文件被占用。数据写入失败：缓冲区已满、文件不可写、磁盘空间不足。其他常见问题：文件遍历缓慢、文本文件编码不正确、二进制文件读取错误。

c语言函数的基本要求有哪些 Apr 03, 2025 pm 10:06 PM

C语言函数是代码模块化和程序搭建的基础。它们由声明（函数头）和定义（函数体）组成。C语言默认使用值传递参数，但也可使用地址传递修改外部变量。函数可以有返回值或无返回值，返回值类型必须与声明一致。函数命名应清晰易懂，使用驼峰或下划线命名法。遵循单一职责原则，保持函数简洁性，以提高可维护性和可读性。

c上标3下标5怎么算 c上标3下标5算法教程 Apr 03, 2025 pm 10:33 PM

C35 的计算本质上是组合数学，代表从 5 个元素中选择 3 个的组合数，其计算公式为 C53 = 5! / (3! * 2!)，可通过循环避免直接计算阶乘以提高效率和避免溢出。另外，理解组合的本质和掌握高效的计算方法对于解决概率统计、密码学、算法设计等领域的许多问题至关重要。

c语言函数名定义 Apr 03, 2025 pm 10:03 PM

C语言函数名定义包括：返回值类型、函数名、参数列表和函数体。函数名应清晰、简洁、统一风格，避免与关键字冲突。函数名具有作用域，可在声明后使用。函数指针允许将函数作为参数传递或赋值。常见错误包括命名冲突、参数类型不匹配和未声明的函数。性能优化重点在函数设计和实现上，而清晰、易读的代码至关重要。

c语言函数的概念 Apr 03, 2025 pm 10:09 PM

C语言函数是可重复利用的代码块，它接收输入，执行操作，返回结果，可将代码模块化提高可复用性，降低复杂度。函数内部机制包含参数传递、函数执行、返回值，整个过程涉及优化如函数内联。编写好的函数遵循单一职责原则、参数数量少、命名规范、错误处理。指针与函数结合能实现更强大的功能，如修改外部变量值。函数指针将函数作为参数传递或存储地址，用于实现动态调用函数。理解函数特性和技巧是编写高效、可维护、易理解的C语言程序的关键。

CS-第 3 周 Apr 04, 2025 am 06:06 AM

算法是解决问题的指令集，其执行速度和内存占用各不相同。编程中，许多算法都基于数据搜索和排序。本文将介绍几种数据检索和排序算法。线性搜索假设有一个数组[20,500,10,5,100,1,50]，需要查找数字50。线性搜索算法会逐个检查数组中的每个元素，直到找到目标值或遍历完整个数组。算法流程图如下：线性搜索的伪代码如下：检查每个元素：如果找到目标值：返回true返回falseC语言实现：#include#includeintmain(void){i