.NET 雲原生架構師訓練營（模組二 基礎鞏固 安全）–學習筆記

• 2021 年 2 月 22 日
• 筆記
• 【002】.NET Core, 【008】.NET 雲原生架構師訓練營

2.8 安全

• 認證 VS 授權
• ASP .NET Core 認證授權中間件
• 認證
• JWT 認證
• 授權

認證 VS 授權

• 認證是一個識別用戶是誰的過程
• 授權是一個決定用戶可以幹什麼的過程
• 401 Unauthorized 未授權
• 403 Forbidden 禁止訪問

ASP .NET Core 認證授權中間件

在接收到請求之後，認證（Authentication）和授權（Authorization） 發生在 路由（Routing） 和 終結點（Endpoint） 之間

執行過程

認證

認證是一個識別用戶是誰的過程

程式碼示例

Web api jwt authentication

在 LighterApi 項目的 Startup.cs 中配置添加服務

ConfigureServices

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(
        options => options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true, // 是否驗證 Issuer
            ValidateAudience = true, // 是否驗證 Audience
            ValidateLifetime = true, // 是否驗證失效時間
            ClockSkew = TimeSpan.FromSeconds(30),
            ValidateIssuerSigningKey = true, // 是否驗證 SecurityKey
            ValidAudience = "//localhost:6001",
            ValidIssuer = "//localhost:6001",
            IssuerSigningKey =
                new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secret88secret666")) // 拿到 SecurityKey
        });

Configure

app.UseAuthentication();
app.UseAuthorization();

添加標籤 [Authorize]

[Authorize]
public class ProjectController : ControllerBase

通過 postman 調用介面，返回 401 Unauthorized

需要通過登錄介面獲取 token，再帶上 token 訪問

JWT 認證

• 什麼是 JWT
• 頒發 token 程式碼示例

什麼是 JWT

JWT 是一個 token，由三部分組成，格式為 xxx.yyy.zzz

• Header（algorithm + type）
• Payload（claims）
• Singature

頒發 token 程式碼示例

namespace LighterApi.Controller
{
    [ApiController]
    [Route("api/[controller]")]
    public class IdentityController : ControllerBase
    {
        [HttpPost]
        [Route("signin")]
        public IActionResult SignIn()
        {
            var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secret88secret666"));
            var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);

            var token = new JwtSecurityToken(
                issuer: "//localhost:6001",
                audience: "//localhost:6001",
                new List<Claim> {new Claim("name", "mingson")},
                expires: DateTime.Now.AddMinutes(120),
                signingCredentials: credentials);

            return Ok(new JwtSecurityTokenHandler().WriteToken(token));
        }
    }
}

啟動程式，訪問介面，獲取 token

通過官網解析

帶上 token 訪問介面

授權

為介面添加訪問需要的角色，具備角色才能訪問

[Authorize(Roles = "Administrators, Mentor")]

SignIn 介面返回 token 中加入角色

new Claim(ClaimTypes.Role, "Administrators"),

啟動程式，獲取包含角色的 token

帶上 token 訪問需要角色的介面

GitHub源碼鏈接：

//github.com/MINGSON666/Personal-Learning-Library/tree/main/ArchitectTrainingCamp/LighterApi