ASP.NET Core Web API 之 Token 验证的实现

在构建一个现代的、基于Web的API时，安全性是一个不可忽视的关键方面。为了确保数据传输的安全性以及用户身份的验证，我们通常采用Token验证机制。在ASP.NET Core中，通过整合JWT（JSON Web Tokens）或OAuth等机制，我们可以有效地实现这一目标。本文将详细介绍如何在ASP.NET Core Web API中实现Token验证，包括如何生成Token、配置认证服务、以及如何在API中应用Token验证。

1. 准备工作

首先，确保你的ASP.NET Core项目已经创建好。如果还没有创建，可以通过以下命令创建一个新的API项目：

bash dotnet new webapi -n MyWebAPIProject cd MyWebAPIProject

接下来，你需要安装JWT相关的NuGet包，以便能够生成和验证JWT Token。运行以下命令来安装必要的包：

bash dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer dotnet add package System.IdentityModel.Tokens.Jwt

2. 配置服务

在Startup.cs的ConfigureServices方法中，配置JWT身份验证服务。首先，确保你的应用有一个用户认证系统（例如使用Identity或自定义用户管理），然后配置JWT Bearer服务：

csharp public void ConfigureServices(IServiceCollection services) { services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, // 验证发行人 ValidateAudience = true, // 验证接收者 ValidateLifetime = true, // 验证Token有效期 ValidateIssuerSigningKey = true, // 验证签名密钥 ValidIssuer = Configuration["Jwt:Issuer"], // 发行人名称从配置文件读取 ValidAudience = Configuration["Jwt:Audience"], // 接收者名称从配置文件读取 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"])) // 签名密钥从配置文件读取，应保持安全不泄露 }; }); // 其他服务配置... }
在appsettings.json中添加如下配置项：
json "Jwt": { "Issuer": "MyWebAPIProject", "Audience": "MyAPIUsers", "Key": "your_secret_key" // 应保持安全不泄露，可以是一段长字符串或复杂密码 }
此配置提供了JWT Token的发行者、接收者及签名密钥信息。

3. 配置中间件

在Startup.cs的Configure方法中，使用app.UseAuthentication()和app.UseAuthorization()来启用认证和授权中间件：
csharp public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { // 其他中间件配置... app.UseAuthentication(); // 启用JWT身份验证中间件 app.UseAuthorization(); // 启用授权中间件以检查Token有效性 // 其他路由和中间件配置... 例如 app.UseEndpoints...等。 必须放在路由之前。 保证Token检查先于路由处理。 } 这一步确保了所有经过此应用的HTTP请求都会被JWT中间件处理。

4. 创建Token和API保护装饰器 ### 4.1 Token创建 在需要生成Token的控制器或服务中，你可以使用IHttpContextAccessor和JwtSecurityTokenHandler来创建Token： csharp using Microsoft.AspNetCore.Http; using System.IdentityModel.Tokens.Jwt; using Microsoft.Extensions.Configuration; public class TokenService { private readonly IConfiguration _configuration; private readonly IHttpContextAccessor _httpContextAccessor; public TokenService(IConfiguration configuration, IHttpContextAccessor httpContextAccessor) { _configuration = configuration; _httpContextAccessor = httpContextAccessor; } public string GenerateToken(string userName) { var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["Jwt:Key"])); var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256); var token = new JwtSecurityToken( _configuration["Jwt:Issuer"], _configuration["Jwt:Audience"], expires: DateTime.Now.AddMinutes(30), // Token有效期30分钟 signingCredentials: credentials); return new JwtSecurityTokenHandler().WriteToken(token); } } 在此示例中，GenerateToken方法接受一个用户名作为参数，并返回一个签名的JWT Token。 ### 4.2 API保护装饰器 在API控制器或方法上应用[Authorize]装饰器来要求使用Token访问： csharp [ApiController] [Route("[controller]")] [Authorize] // 使用Authorize装饰器要求Token访问权限 public class ValuesController : ControllerBase { [HttpGet] public IActionResult Get() { return Ok("Values"); } } 在此例中，任何试图访问ValuesController的请求都必须携带有效的JWT Token。如果没有携带或Token无效，用户将收到401（未授权）或403（禁止）的HTTP状态码。 ## 5. 测试与调试 在开发过程中，你可以使用Postman或任何其他API测试工具来测试你的API是否正确处理了Token验证。在请求头中添加Authorization: Bearer <your_token>来模拟携带Token的请求。 若要调试和查看更多关于认证和授权的细节，可以开启开发环境下的日志记录： csharp ... services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddDebugLogging(); ... 这将帮助你理解认证过程中发生了什么。 ## 结语 在ASP.NET Core Web API中实现Token验证是一个提高应用安全性的重要步骤。通过上述步骤，你可以有效地使用JWT Token对API进行身份验证和授权。记住保持你的密钥安全，并定期更新你的Token及其密钥以增强安全性。