asp.core 同時相容JWT身份驗證和Cookies 身份驗證兩種模式

至道中和發表於2022-02-13

在實際使用中，可能會遇到，aspi介面驗證和view頁面的登入驗證情況。asp.core 同樣支援兩種相容。

首先在startup.cs 啟用身份驗證。

 var secrityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["SecurityKey"]));
            services.AddSingleton(secrityKey);
            services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
                .AddCookie(option =>    //cookies 方式
                {
                    option.LoginPath = "/Login"; 
                })
            .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options =>   //jwt 方式
            {
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    ValidateIssuer = true,//是否驗證Issuer
                    ValidateAudience = true,//是否驗證Audience
                    ValidateLifetime = true,//是否驗證失效時間
                    ClockSkew = TimeSpan.FromSeconds(30),
                    ValidateIssuerSigningKey = true,//是否驗證SecurityKey
                    ValidAudience = Configuration["JWTDomain"],//Audience
                    ValidIssuer = Configuration["JWTDomain"],//Issuer
                    IssuerSigningKey = secrityKey//拿到SecurityKey
                };
            });

Configure 方法中須加入

  app.UseAuthentication(); //授權
  app.UseAuthorization(); //認證 認證方式有使用者名稱密碼認證

            app.MapWhen(context =>
            {
                var excludeUrl = new string[] { "/api/login/getinfo", "/api/login/login", "/api/login/modifypwd" };  //注意小寫
                return context.Request.Path.HasValue
                && context.Request.Path.Value.Contains("Login")
                && context.Request.Headers.ContainsKey("Authorization")
                && !(excludeUrl.Contains(context.Request.Path.Value.ToLower()));
            }, _app =>
            {
                _app.Use(async (context, next) =>
                {
                    context.Response.StatusCode = 401;
                });
            });

在login頁面，後臺程式碼

            var uid = Request.Form["code"] + "";
            var pwd = Request.Form["pwd"] + "";

            var info = _mysql.users.Where(m => m.user_code == uid&&m.delflag==0).FirstOrDefault();
            if (info == null)
            {
                return new JsonResult(new
                {
                    success = false,
                    msg = "使用者不存在"
                });
            }
            if (info.pwd != pwd)
            {
                return new JsonResult(new
                {
                    success = false,
                    msg = "使用者密碼不正確"
                });
            }

            //建立一個身份認證
            var claims = new List<Claim>() {
                        new Claim(ClaimTypes.Sid,info.id), //使用者ID
                        new Claim(ClaimTypes.Name,info.user_code)  //使用者名稱稱
                    };
            var claimsIdentity = new ClaimsIdentity(
                claims, CookieAuthenticationDefaults.AuthenticationScheme);
            //var identity = new ClaimsIdentity(claims, "Login");
            //var userPrincipal = new ClaimsPrincipal(identity);
            //HttpContext.SignInAsync("MyCookieAuthenticationScheme", userPrincipal, new AuthenticationProperties
            //{
            //    ExpiresUtc = DateTime.UtcNow.AddMinutes(30),
            //    IsPersistent = true
            //}).Wait();

            var authProperties = new AuthenticationProperties
            {
                //AllowRefresh = <bool>,
                // Refreshing the authentication session should be allowed.
                ExpiresUtc = DateTimeOffset.UtcNow.AddMinutes(60),
                // The time at which the authentication ticket expires. A 
                // value set here overrides the ExpireTimeSpan option of 
                // CookieAuthenticationOptions set with AddCookie.
                IsPersistent = true,
                // Whether the authentication session is persisted across 
                // multiple requests. When used with cookies, controls
                // whether the cookie's lifetime is absolute (matching the
                // lifetime of the authentication ticket) or session-based.

                //IssuedUtc = <DateTimeOffset>,
                // The time at which the authentication ticket was issued.

                //RedirectUri = <string>
                // The full path or absolute URI to be used as an http 
                // redirect response value.
            };

            await HttpContext.SignInAsync(
                CookieAuthenticationDefaults.AuthenticationScheme,
                new ClaimsPrincipal(claimsIdentity),
                authProperties);

　Controler控制器部分，登入程式碼：

[HttpPost("Login")]
        public async Task<JsonResult> Login(getdata _getdata)
        {
            var userName = _getdata.username;
            var passWord = _getdata.password;
            var info = _mysql.users.Where(m => m.user_code == userName && m.delflag == 0).FirstOrDefault();
            if (info == null)
            {
                return new JsonResult(new
                {
                    state = false,
                    code = -1,
                    data = "",
                    msg = "使用者名稱不存在!"
                });
            }
            if (CommonOp.MD5Hash(info.pwd).ToLower() != passWord)
            {
                return new JsonResult(new
                {
                    state = false,
                    code = -2,
                    data = "",
                    msg = "使用者密碼不正確!"
                });
            }

            #region 身份認證處理
            var secrityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config["SecurityKey"]));
            List<Claim> claims = new List<Claim>();
            claims.Add(new Claim("user_code", info.user_code));
            claims.Add(new Claim("id", info.id));

            var creds = new SigningCredentials(secrityKey, SecurityAlgorithms.HmacSha256);
            var token = new JwtSecurityToken(
                issuer: _config["JWTDomain"],
                audience: _config["JWTDomain"],
                claims: claims,
                expires: DateTime.Now.AddMinutes(120),
                signingCredentials: creds);

            return new JsonResult(new
            {
                state = true,
                code = 0,
                data = new JwtSecurityTokenHandler().WriteToken(token),
                msg = "獲取token成功"

            });
            #endregion
        }

注意，受身份驗證的控制器部分，要加入如下屬性頭，才可以生效。

    [Authorize(AuthenticationSchemes = "Bearer,Cookies")]
    public class ControllerCommonBase : ControllerBase
    {
    
     }

這樣一個Controler 控制器，能夠相容兩種模式啦。

javascript 驗證身份證
2016-10-12
JavaScript
SpringBoot整合JWT做身份驗證
2019-01-22
Spring BootJWT
WEB身份驗證
2007-04-05
Web
身份證驗證工具類
2022-01-17
作業系統身份驗證和口令檔案身份驗證總結
2013-11-27
作業系統
asp.net core 3.1多種身份驗證方案，cookie和jwt混合認證授權
2020-08-04
ASP.NETCookieJWT
Oracle的身份驗證
2014-03-05
Oracle
PHP 驗證身份證號碼
2019-07-25
PHP
中國身份證號驗證庫
2021-01-26
C++身份證號驗證
2020-11-14
C++
C#驗證身份證號
2009-02-27
C#
C++身份核驗介面程式碼、身份證OCR、身份證實名認證API
2024-04-16
C++API
js正則驗證身份證號
2020-11-14
JS
PHP 身份證精確匹配驗證
2017-05-19
PHP
身份證號碼驗證系統
2017-02-19
身份證號碼之js驗證
2017-12-04
JS
oracle常見身份驗證
2015-04-20
Oracle
node學習---jwt實現驗證使用者身份
2018-10-06
JWT
淺談 Cookie-Session 、Jwt 兩種身份認證機制
2019-08-16
CookieSessionJWT
java 實現從15位~18位的身份證號碼轉換，校驗中國大陸公民身份證、香港居民身份證、澳門身份證和臺灣身份證。
2013-08-18
Java
身份證號碼驗證演算法
2016-06-23
演算法
js實現身份證號碼驗證
2015-05-11
JS
JS驗證身份證的合法性
2015-07-02
JS
jQuery正則驗證15/18身份證
2016-05-23
jQuery
javascript身份證號碼校驗
2019-02-16
JavaScript
使用java完成ldap身份驗證
2014-10-23
JavaLDA
C# Web Service 身份驗證
2013-03-20
C#Web
7-3 查驗身份證
2024-03-09
實時驗證碼技術可改進生物識別身份驗證
2018-04-18
直播app原始碼，進行身份驗證時，檢測身份證位數夠不夠
2022-02-11
APP原始碼
精確驗證身份證號碼程式碼
2017-04-12
javascript 驗證身份證完全版,根據身份證獲取性別年齡
2017-10-26
JavaScript
app直播原始碼，登入時輸入驗證碼、簡訊驗證身份
2022-01-25
APP原始碼
使用JWT做RESTful API的身份驗證-Go語言實現
2018-07-17
JWTRESTAPIGo
【仙山】flutter版谷歌身份驗證器
2019-07-21
Flutter谷歌
簡聊 Session 與 Token 身份驗證
2018-12-24
Session
Asp.Net MVC 身份驗證-Forms
2018-01-09
ASP.NETMVCORM
AngularJS 如何做身份驗證
2015-03-04
AngularJS

asp.core 同時相容JWT身份驗證和Cookies 身份驗證兩種模式

相關文章