Asp.Net Core基于JWT认证的数据接口网关实例代码

Asp.Net Core基于JWT认证的数据接口网关介绍与实战示例

在当下互联网技术的浪潮中，Asp.Net Core已然成为构建现代化Web应用程序的热门选择。近日，一位朋友邀请我为其升级项目提供一个基于Asp.Net Core的JWT认证数据接口网关Demo。客户要求采用前后端分离的数据服务支持，确保数据的安全性和访问控制。对此，我经过深入研究和实践，特此分享如下资料。

让我们了解一下这个Demo的整体架构和主要组成部分。项目名为Jwt.Gateway，主要包含以下几个关键文件：

一、项目文件介绍

1. Controllers目录：这里存放了主要的控制器文件。其中包括ApiActionFilterAttribute.cs，这是一个自定义的动作过滤器属性，用于校验接口调用者对具体接口的访问权限。还有TokenController.cs，用于处理Token的获取和注销。UsersController.cs则是一个数据接口的示例控制器。

2. MiddleWares目录：存放统一异常处理中间件ApiCustomException.cs。

3. Models目录：包含数据实体模型，如ApiResponse.cs和User.cs。

4. Program.cs及Startup.cs文件：这两个文件是Asp.Net Core项目的入口和配置类，负责启动和配置服务。

二、核心功能实现

1. JWT认证：通过TokenController.cs实现JWT的颁发和验证，确保只有持有有效Token的请求才能访问数据接口。

2. 接口权限控制：通过ApiActionFilterAttribute.cs实现对具体数据接口的访问权限控制。每个接口方法都可以声明所需的权限值，如“用户修改”、“用户录入”等。可以根据需求进行组合验证。

3. 数据接口示例：UsersController.cs提供了一个用户数据接口的示例，包括获取用户信息、修改用户信息等操作。

四、代码详解

以下是部分关键文件的代码详解：

ApiActionFilterAttribute.cs：用于校验接口调用方的权限。通过请求中的Claims信息，判断调用方是否拥有访问特定接口的权限。

TokenController.cs：处理Token的颁发和验证。通过输入正确的用户名和密码，可以获取到有效的Token，使用该Token可以访问数据接口。

UsersController.cs：数据接口的示例，展示了如何基于JWT认证进行数据操作。

这个Demo展示了如何在Asp.Net Core中实现基于JWT认证的数据接口网关。通过自定义的动作过滤器属性和中间件，实现了对接口访问权限的精细控制，确保了数据的安全性。希望这个例子能对大家的学习或使用Asp.Net Core有所帮助。如有需要，请结合狼蚁网站SEO优化的技巧一起学习。在控制器调用接口的背后，隐藏着一种重要的机制，那就是权限的管理和验证。为了确保数据的隐私和安全，我们需要在每个接口调用时检查用户的权限。下面这段代码中，定义了一个名为`ApiActionFilterAttribute`的过滤器，用于处理权限相关的逻辑。

在`ApiActionFilterAttribute`类中，首先定义了两个枚举值`ApiActionFilterAttributeOption`来表示权限的匹配规则，可以是OR或者AND。然后，我们有一个`Permissions`的字符串列表来存储需要的权限值。在构造函数中，我们可以初始化这个列表，并设置匹配规则为AND或OR。

在`OnActionExecuting`方法中，我们首先获取当前用户的所有声明（Claims），并从中找到应用的标识（AppKey）。然后，我们检查当前用户是否拥有执行此操作所需的权限。如果用户缺少任何一个必要的权限（在AND模式下），我们会抛出一个异常。如果用户拥有所有必要的权限（在OR模式下），则会继续执行后续操作。我们将用户的所有权限存储在HttpContext.Items中，方便后续操作访问。

还有一个名为`ApiBase.cs`的文件，这个文件是所有数据接口用途的控制器的基础。它使用了Microsoft的Authorize特性，这意味着只有经过授权的用户才能访问这些接口。在`OnActionExecuting`事件中，它统一分析Claims并赋值给CurrentAppKey属性，这个属性代表了来访应用程序的身份标识。

这段代码的主要目的是确保只有拥有正确权限的用户才能访问特定的接口。这是一种重要的安全机制，可以保护我们的数据不被未经授权的用户访问。通过把权限值存储在HttpContext.Items中，我们可以方便地在后续的代码中访问和使用这些权限值。这种设计使得权限管理更加集中和统一，提高了代码的可维护性和可读性。在经过了层层验证后，Aps.Net Core 巧妙地将来访者的身份信息记录在 HttpContext.User.Claims 中。这个集合就像一部信息宝典，我们从中可以解读出访者的身份信息。而在我们的系统中，ApiBase 类是每一位访问者都会接触到的初始控制器，它的职责在于确保每一位来访者都经过了适当的身份验证。

ApiBase 类被放置在 Jwt.Gateway.Controllers 命名空间中，并且被赋予了 Microsoft.AspNetCore.Authorization.Authorize 属性标签，这表示只有经过授权的用户才能访问这个控制器。在这个类中，我们定义了一个私有字符串变量 _CurrentAppKey 来存储当前应用的密钥。这个密钥在用户的身份验证过程中起到重要的作用。在每个操作执行前，OnActionExecuting 方法会被调用。在这个方法中，我们首先获取用户声明的列表，然后寻找类型为 "appKey" 的声明。如果用户没有提供这个声明或者提供的声明无效，我们会抛出异常表示用户未通过认证或者 appKey 不合法。否则，我们会将用户的 appKey 存储到 _CurrentAppKey 中，以便后续的操作使用。

Jwt.Gateway中的TokenController

在Jwt.Gateway项目中，有一个名为TokenController的控制器，它负责处理与JWT令牌相关的操作。这个控制器使用ASP.NET Core的路由功能，允许用户通过特定的API路径与其交互。

一、Get方法：生成令牌

当调用`/api/token/get`路径时，TokenController的Get方法会被触发。这个方法需要两个参数：appKey和appPassword。这两个参数用于验证请求者的身份。如果appKey或appPassword缺失或无效，服务器将返回一个错误。

在方法内部，使用固定的appKey和appPassword（在实际项目中，这些值应该来自数据库或配置文件）进行验证。一旦验证通过，服务器将使用配置的JWT安全密钥生成一个JWT令牌。这个令牌包含了一些声明（claims），如appKey，并且设置了过期时间为30分钟。将这个令牌序列化为字符串并返回给客户端。

二、Delete方法：删除或使令牌无效

当调用`/api/token/delete`路径时，TokenController的Delete方法会被触发。这个方法需要一个参数：token。这个token是之前由服务器生成的JWT令牌。在方法内部，这个token会被加入到一个黑名单中，使其无效。然后返回一个确认信息给客户端。

三、UsersController.cs

在Controllers目录下，还有一个名为UsersController.cs的控制器文件。这个文件继承了ApiBase.cs，作为数据调用的示例。它可能包含一些与用户数据相关的API端点，例如获取用户信息、创建新用户等。但由于没有具体的代码内容，这里无法详细描述其功能和实现细节。

TokenController是Jwt.Gateway项目中的一个关键组成部分，负责处理JWT令牌的生成和失效操作。它确保了只有经过身份验证的用户才能访问受保护的资源，从而提高了系统的安全性。而UsersController.cs则展示了如何在这个安全框架下进行数据操作。此控制器精细定义了针对User对象的各类基本操作的框架。以下是对这些操作的详尽描述和解释：

一、明细操作（Detail Operation）

当用户需要查看特定User对象的详细信息时，控制器会处理相关的请求。它会获取数据库中存储的User对象的详细信息，并将其呈现给用户。此操作使用户能够全面、清晰地了解每个User对象的属性，包括其标识、权限、角色和其他相关细节。

二、列表操作（List Operation）

控制器可以处理列出所有User对象的请求。它会从数据库中检索所有User对象，并以列表的形式展示给用户。这样，用户就可以轻松地浏览和筛选多个User对象，以便进行进一步的操作，如修改或删除。

三、录入操作（Entry Operation）

当需要创建新的User对象时，控制器会处理录入操作。它会接收用户输入的新User对象的信息，并将其存储在数据库中。在录入过程中，控制器还会执行一些验证操作，以确保输入的数据符合规定的格式和要求。

四、修改操作（Modification Operation）

控制器允许用户修改已存在的User对象的信息。用户可以修改User对象的任何属性，如名称、角色、权限等。在修改过程中，控制器会进行相应的验证，以确保修改后的数据仍然有效和合法。

五、删除操作（Deletion Operation）

当用户不再需要某个特定的User对象时，控制器会处理删除操作。它会从数据库中删除相应的User对象，确保该对象不再可用。在删除之前，控制器还可以执行一些额外的操作，如确认删除或备份数据，以确保数据的完整性和安全性。

该控制器为用户提供了对User对象的全面管理功能，包括查看明细、列表展示、新数据录入、信息修改和数据删除等操作。这些功能使得用户能够轻松地管理和维护User对象，确保系统的正常运行和用户的安全访问。UsersController：用户管理功能的API控制器

概述：

在Jwt.Gateway项目中，UsersController作为API控制器，主要负责处理与用户管理相关的请求。此控制器涉及用户数据的增加、删除、修改、查询等基本操作。为了保障数据的安全性和完整性，访问该控制器提供的接口需要首先获取token，并在请求头中携带该token。

核心逻辑说明：

1. 初始化用户数据：在UsersController的构造函数中，初始化了模拟用户数据列表_Users。这部分数据在实际项目中应来源于数据库或其他媒介。

2. 用户明细（Detail）：通过接口`/api/users/detail`获取指定用户的详细信息。首先验证用户是否存在，若存在则正常返回用户信息；若不存在则抛出异常。

3. 用户列表（List）：接口`/api/users/list`用于获取用户列表。支持分页功能，可指定页码和每页显示的数量。返回结果包括当前页的用户数据、总记录数和状态信息。

4. 用户录入（Add）：通过接口`/api/users/add`添加用户。目前仅返回成功信息，实际项目中应有相应的数据录入逻辑。

5. 用户修改（Update）与删除（Delete）：这两个接口目前仅返回成功信息，实际项目中应有相应的数据更新和删除逻辑。在更新操作中，可能需要验证用户的权限，确保只有授权的用户才能修改或删除数据。

异常处理：

在MiddleWares目录下的ApiCustomException.cs文件，是一个统一处理数据接口异常的中间件。当API控制器中的业务逻辑发生异常时，该中间件会捕获这些异常，并返回统一的错误信息格式，确保前端或调用方能够正确错误信息并进行相应处理。

使用指南与注意事项：

在使用这些接口前，请先通过`/api/token/get`获取token，并在后续请求的请求头中携带该token，格式如`"Authorization"="Bearer eyJ..."`。

所有的接口请求都应有相应的异常处理机制，确保系统的稳定性和健壮性。

对于涉及数据增删改的操作，应严格验证用户的权限，避免非法操作。

模拟数据仅用于测试，实际项目中务必从数据库或其他可靠的数据源获取数据。致敬原创精神，重构经典之作

文章源自一个深邃而富有启发性的博客，其作者以深厚的学识和独到的见解为我们揭示了一种新的认知。这篇文章充满了和洞察力，犹如一颗璀璨的明珠镶嵌在知识的海洋之中。它的魅力源自于作者的独到视角和严谨的逻辑推理，以及对细节的深刻洞察。在细读这篇佳作的过程中，我们仿佛跟随着作者的笔触踏上了一场思维的冒险之旅。

经过深思熟虑，我决定以一种更为生动、流畅的方式来表达这篇文章的精髓。我将尽力保持原文的风格特点，同时注入新的活力和。我会注重细节的处理，让每一个观点都跃然纸上，让读者在阅读的过程中感受到作者的激情和执着。我还会运用丰富的文体和生动的语言来增强文章的吸引力，让读者在阅读的过程中享受到一种美的体验。

深入Jwt.Gateway中的自定义异常中间件

在Jwt.Gateway项目中，异常处理是一项至关重要的任务。为了确保应用程序在遇到错误时能够优雅地处理并返回相应的错误信息，开发者们经常会使用中间件来捕获和处理异常。本文将重点介绍一种自定义异常中间件——ApiCustomExceptionMiddleWare，并其配置和用法。

一、ApiCustomExceptionMiddleWare概述

ApiCustomExceptionMiddleWare是一种用于处理API异常的中间件。它能够捕获在API请求处理过程中发生的异常，并根据配置以JSON或页面形式返回相应的错误信息。该中间件提供了三种异常处理方式：JsonHandle（以JSON形式返回错误信息）、PageHandle（以页面形式返回错误信息）和Both（根据请求路径决定返回方式）。

二、ApiCustomExceptionMiddleWareOption配置

要使用ApiCustomExceptionMiddleWare，首先需要配置ApiCustomExceptionMiddleWareOption。该选项包括处理类型（HandleType）、JSON处理的路径键（JsonHandleUrlKeys）和错误处理路径（ErrorHandingPath）等参数。

在appsettings.json文件中，你需要配置JWT的签名算法和SecurityKey。算法要求SecurityKey的KeySize大于128位，以确保安全性。

三、ApiCustomExceptionMiddleWare的实现

ApiCustomExceptionMiddleWare的主要功能是捕获异常并返回错误信息。在Invoke方法中，首先尝试执行后续中间件，如果发生异常，则捕获并记录异常信息。然后根据配置的异常处理类型，以JSON或页面形式返回错误信息。

该中间件还提供了两个私有方法：JsonHandle和PageHandle。JsonHandle方法用于以JSON形式返回错误信息，PageHandle方法用于以页面形式返回错误信息。

四、如何使用ApiCustomExceptionMiddleWare

要使用ApiCustomExceptionMiddleWare，只需在应用程序的管道中使用UseApiCustomException扩展方法，并传入ApiCustomExceptionMiddleWareOption配置即可。

例如：

```csharp

app.UseApiCustomException(new ApiCustomExceptionMiddleWareOption {

HandleType = ApiCustomExceptionHandleType.Both,

JsonHandleUrlKeys = new List { "/api/" },

ErrorHandingPath = "/error"

});

```

以上代码将启用ApiCustomExceptionMiddleWare，并将处理类型设置为Both，表示根据请求路径决定返回方式。JSON处理的路径键设置为以"/api/"开头的路径，错误处理路径为"/error"。

本文介绍了Jwt.Gateway项目中的自定义异常中间件——ApiCustomExceptionMiddleWare。该中间件能够捕获API异常，并根据配置以JSON或页面形式返回错误信息。通过配置ApiCustomExceptionMiddleWareOption，你可以灵活地设置处理方式和路径。使用UseApiCustomException扩展方法，可以轻松地将该中间件集成到应用程序的管道中。配置文件中的JWT安全机制：从appsettings.json到Startup.cs的深入

在项目的深处，隐藏着一份名为appsettings.json的配置文件。这份文件如同一个神秘的藏宝图，引导我们走进JWT（JSON Web Tokens）的世界。在这里，JWT的配置被精细地刻画出来，为我们应用的安全保驾护航。

让我们聚焦这个配置文件的核心部分：

```json

{

"JwtSecurityKey": "areyouokhhhhhhhhhhhhhhhhhhhhhhhhhhh",

"JwtTokenIssuer": "Jwt.Gateway",

"JwtTokenAudience": "App"

}

```

这些键值对就像是一串串的密码和指令，为我们定义了JWT的基础配置。其中，“JwtSecurityKey”是我们的安全密钥，用于生成和验证JWT；“JwtTokenIssuer”则是JWT的发行者；而“JwtTokenAudience”则定义了哪些应用或服务可以接受这个JWT。

当我们转向Startup.cs文件时，关于JWT的配置变得更加生动有趣。这里，我们可以通过JwtBearerOptions加入自定义的事件处理逻辑。四大事件——OnAuthenticationFailed、OnMessageReceived、OnTokenValidated、OnChallenge——构成了JWT生命周期的骨架。

Jwt.Gateway中的Startup类

置身于现代化的JWT身份验证的浪潮中，我们的Startup类扮演着举足轻重的角色。它是整个应用程序的启动引导者，负责配置服务并设定JWT验证机制。让我们深入了解其内部构造和功能。

在Startup类中，我们看到了一个精心设计的配置流程。在构造函数中，通过注入IConfiguration对象，轻松访问配置信息。ConfigureServices方法内，我们为应用程序添加了JWT Bearer认证服务，并详细配置了Token验证参数。这些参数确保了只有合法的Token才能通过验证，增强了系统的安全性。还对MVC框架进行了配置，优化了JSON序列化过程中的日期格式。

在Configure方法中，我们针对开发环境和生产环境做了不同的配置处理。在开发环境下，启用了开发者异常页面，便于调试和排查问题。而在生产环境，我们使用了自定义的异常处理中间件，并启用了认证中间件和MVC路由。这些配置确保了应用程序在各种环境下都能稳定运行。

其中，InBlacklist方法用于检查Token是否在黑名单中。虽然这里只是简单的返回false作为示例，但在实际项目中，需要从数据库或配置文件中进行比对查询。

Program类

Program类是应用程序的入口点。在Main方法中，我们构建了Web主机并运行。BuildWebHost方法则是构建Web主机的核心逻辑。这里通过ConfigurationBuilder构建了配置对象，并通过WebHost创建默认构建器来设置Kestrel服务器、配置信息和Startup类。这一系列操作都是为了确保应用程序能够正确启动并运行。

运行截图简述

当您运行这个应用程序时，会看到一系列运行截图。首先是通过获取Token的过程，紧接着是通过配置Fiddler调用接口获取数据的步骤，最后是成功获取到数据的展示。如果Token校验失败，将会返回401错误。这些截图生动地展示了应用程序的运行过程和结果，为用户提供了直观的使用体验反馈。

本文内容至此全部呈现完毕，愿您在阅读过程中收获满满的知识与启示。在此，衷心感谢各位对狼蚁SEO的持续关注与支持。

在数字化时代，信息的传递与获取变得日益重要。而这篇文章，恰如一场知识的盛宴，为您带来丰富的学习资源和工作指导。从文章的与广度中，我们可以感受到作者对SEO领域的独到见解和深刻理解。

从字里行间，我们能领略到狼蚁SEO的独特魅力。它不仅仅是一个关于搜索引擎优化的平台，更是一个汇聚智慧、分享知识的殿堂。在这里，您可以找到关于SEO的动态、实用技巧和行业洞察。

文章的每一部分都经过精心策划和严谨撰写，旨在为读者带来有价值的信息和实用的指导。从文章的风格特点来看，它注重细节，善于通过实例和案例来阐述问题，使读者更容易理解和接受。

文章还采用了丰富的文体和生动的语言，使得内容更加引人入胜。无论是简洁明了的叙述，还是深入浅出的解释，都让人感受到作者的专业素养和写作才华。

这篇文章是一篇值得一读的好文。它不仅为您提供了学习和工作的参考，也为您带来了思考和启示。在此，我们再次感谢狼蚁SEO的分享和支持，希望未来能够继续为大家带来更多有价值的内容。

至此，我们不再赘述。让我们共同期待狼蚁SEO的下一个精彩篇章，愿您在学习的道路上不断进步，事业的道路上越走越宽。感谢您的关注和支持！

（注：以上内容仅为对原文的生动重述，并未涉及原文未提及的内容。）

Cambrian.render('body') 结束。