Logo
Project Icon

jwt-api

ASP.NET Core 7 JWT认证授权实现指南

JWTAPI认证ASP.NET Core访问令牌用户授权Github开源项目

这个项目展示了在ASP.NET Core 7中实现JSON Web Token认证和授权的方法。它包含用户注册、密码哈希、基于角色的授权、访问令牌创建和刷新等功能。项目利用Entity Framework Core和AutoMapper,并集成Swagger文档。开发者可以参考此项目完整实现JWT,包括令牌刷新和撤销等高级特性,有助于构建安全的Web API。

访问官网访问官网GithubGithub文档文档
介绍相关项目

JWT API

本示例API展示了如何使用ASP.NET Core 7从头开始实现JSON Web Token身份验证和授权。

功能

  • 用户注册;
  • 密码哈希;
  • 基于角色的授权;
  • 通过创建访问令牌进行登录;
  • 刷新令牌,用于在访问令牌过期时创建新的访问令牌;
  • 撤销刷新令牌。

框架和库

该API使用以下库和框架来实现上述功能:

如何测试

我在API中添加了Swagger,因此我们可以使用它来可视化和测试所有API路由。你可以运行应用程序并导航到/swagger来查看API文档:

Swagger

你也可以使用Postman等工具来测试API。我在下面描述了如何使用Postman测试API。

首先,克隆此仓库并在终端中打开它。然后恢复所有依赖项并运行项目。由于它配置为使用Entity Framework InMemory提供程序,项目将无任何问题运行。

$ git clone https://github.com/evgomes/jwt-api.git
$ cd jwt-api/src
$ dotnet restore
$ dotnet run

创建用户

要创建用户,请向http://localhost:5000/api/users发送POST请求,指定有效的电子邮件和密码。结果将是一个具有普通用户权限的新用户。

{
	"email": "mytest@mytest.com",
	"password": "123456"
}

创建用户

已经预定义了两个用户来测试应用程序,一个具有普通用户权限,另一个具有管理员权限。

{
	"email": "common@common.com",
	"password": "12345678"
}

{
	"email": "admin@admin.com",
	"password": "12345678"
}

请求访问令牌

要请求访问令牌,请向http://localhost:5000/api/login发送POST请求,发送包含用户凭据的JSON对象。响应将是一个包含以下内容的JSON对象:

  • 可用于访问受保护API端点的访问令牌;
  • 在访问令牌过期时获取新访问令牌所需的刷新令牌;
  • 表示令牌过期日期的长整型值。

访问令牌在30秒后过期,刷新令牌在60秒后过期(你可以在appsetings.json中更改此设置)。

请求令牌

访问受保护数据

有两个可以测试的API端点:

  • http://localhost:5000/api/protectedforcommonusers:如果指定了有效的访问令牌,所有角色的用户都可以访问此端点;
  • http://localhost:5000/api/protectedforadministrators:只有管理员用户可以访问此端点。

获得有效的访问令牌后,向上述端点之一发送GET请求,并在请求中添加以下标头:

Authorization: Bearer your_valid_access_token_here

如果你以普通用户(具有Common角色的用户)身份获取令牌并向所有用户的端点发出请求,你将收到如下响应:

普通用户

但如果你尝试将此令牌传递给需要管理员权限的端点,你将收到403 - forbidden响应:

403 禁止

如果你以管理员身份登录并向管理员端点发出GET请求,你将收到以下内容作为响应:

管理员受限数据

如果你向任何端点传递无效令牌(例如过期的令牌或手动更改的令牌),你将收到401 unauthorized响应。

401 未授权

刷新令牌

想象你有一个单页应用程序或移动应用,你不希望用户每次访问令牌过期时都必须重新登录。为了解决这个问题,你可以使用有效的刷新令牌获取新令牌。这样,你可以保持用户登录状态,而无需明确要求他们再次登录。

要刷新令牌,请向http://localhost:5000/api/token/refresh发送POST请求,在请求正文中传递有效的刷新令牌和用户的电子邮件。

{
	"token": "your_valid_refresh_token",
	"userEmail": "user@email.com"
}

如果指定的刷新令牌和电子邮件有效,你将收到一个新令牌:

刷新令牌

如果刷新令牌无效,你将收到400响应:

无效的刷新令牌

撤销刷新令牌

现在想象你希望用户注销,或者出于任何原因想要撤销刷新令牌。你可以通过向http://localhost:5000/api/token/revoke发送POST请求来撤销刷新令牌,在请求正文中传递有效的刷新令牌。

{
	"token": "valid_refresh_token"
}

调用此端点后,你将收到204 No Content响应。

撤销令牌

注意事项

创建此示例的目的是帮助那些对如何在API中实现身份验证和授权以在不同客户端应用程序中使用这些功能有疑问的人。JSON Web令牌易于实现且安全。

如果你对实现细节有疑问或发现bug,请提出issue。如果你有改进API的想法,或者想添加新功能或修复bug,请发送pull request。

相关项目
项目侧边栏1项目侧边栏2
推荐项目
Project Cover

豆包MarsCode

豆包 MarsCode 是一款革命性的编程助手,通过AI技术提供代码补全、单测生成、代码解释和智能问答等功能,支持100+编程语言,与主流编辑器无缝集成,显著提升开发效率和代码质量。

Project Cover

AI写歌

Suno AI是一个革命性的AI音乐创作平台,能在短短30秒内帮助用户创作出一首完整的歌曲。无论是寻找创作灵感还是需要快速制作音乐,Suno AI都是音乐爱好者和专业人士的理想选择。

Project Cover

有言AI

有言平台提供一站式AIGC视频创作解决方案,通过智能技术简化视频制作流程。无论是企业宣传还是个人分享,有言都能帮助用户快速、轻松地制作出专业级别的视频内容。

Project Cover

Kimi

Kimi AI助手提供多语言对话支持,能够阅读和理解用户上传的文件内容,解析网页信息,并结合搜索结果为用户提供详尽的答案。无论是日常咨询还是专业问题,Kimi都能以友好、专业的方式提供帮助。

Project Cover

阿里绘蛙

绘蛙是阿里巴巴集团推出的革命性AI电商营销平台。利用尖端人工智能技术,为商家提供一键生成商品图和营销文案的服务,显著提升内容创作效率和营销效果。适用于淘宝、天猫等电商平台,让商品第一时间被种草。

Project Cover

吐司

探索Tensor.Art平台的独特AI模型,免费访问各种图像生成与AI训练工具,从Stable Diffusion等基础模型开始,轻松实现创新图像生成。体验前沿的AI技术,推动个人和企业的创新发展。

Project Cover

SubCat字幕猫

SubCat字幕猫APP是一款创新的视频播放器,它将改变您观看视频的方式!SubCat结合了先进的人工智能技术,为您提供即时视频字幕翻译,无论是本地视频还是网络流媒体,让您轻松享受各种语言的内容。

Project Cover

美间AI

美间AI创意设计平台,利用前沿AI技术,为设计师和营销人员提供一站式设计解决方案。从智能海报到3D效果图,再到文案生成,美间让创意设计更简单、更高效。

Project Cover

AIWritePaper论文写作

AIWritePaper论文写作是一站式AI论文写作辅助工具,简化了选题、文献检索至论文撰写的整个过程。通过简单设定,平台可快速生成高质量论文大纲和全文,配合图表、参考文献等一应俱全,同时提供开题报告和答辩PPT等增值服务,保障数据安全,有效提升写作效率和论文质量。

使用协议隐私政策广告服务
投诉举报邮箱: service@vectorlightyear.com
@2024 懂AI·鲁ICP备2024100362号-6·鲁公网安备37021002001498号