我一直在寻找有关使用身份验证令牌保护.NET Core WebAPI的教程之后的教程,并且所有内容似乎都需要用户名/密码组合才能获得用于对API控制器进行身份验证的临时令牌。
我正在开发的项目是使用Windows IOT设备运行我编写的自定义UWP应用程序,需要在后台连接到此API以记录数据并下载最新的设备配置。
我曾计划为每个设备提供一个唯一的令牌,用于在初始设备/应用设置期间输入和存储的身份验证。我使用的大多数第三方API只是向您发出一个永久令牌,您可以使用它来访问其API。我想做类似的事情。
答案 0 :(得分:0)
您可以使用标准的JWT方法,在用户名/密码登录时创建两个令牌。
第一个令牌(访问令牌)是短暂的,包含访问企业登录端点的权限。第二个(刷新令牌)是永久性的,允许您获取新的Access令牌,一旦它过期,就会创建一个连续的访问模式。刷新令牌只应带有刷新声明,这将允许您访问专门用于创建新的短期令牌的端点。
有很多教程,比如http://piotrgankiewicz.com/2017/12/07/jwt-refresh-tokens-and-net-core/
答案 1 :(得分:0)
出于我的目的,JWT似乎过于矫and并且过于复杂,因此我遵循此教程,最终采用了中间件解决方案: https://www.youtube.com/watch?v=n0llyujNGw8
我最终使用以下代码创建了中间件类:
public class TokenValidationMiddleware
{
private readonly RequestDelegate _next;
public TokenValidationMiddleware(RequestDelegate next)
{
_next = next;
}
public async Task Invoke(HttpContext context)
{
bool validToken = false;
//Require HTTPS
if (context.Request.IsHttps)
{
//Skip token authentication for test controller
if (context.Request.Path.StartsWithSegments("/api/values"))
{
validToken = true;
}
//Token header exists in the request
if (context.Request.Headers.ContainsKey("Token"))
{
//Check for a valid device by API token in my DB and set validToken to true if found
if (repository.FindDeviceByAPIKey())
{
validToken = true;
}
}
if (!validToken)
{
context.Response.StatusCode = (int)HttpStatusCode.Forbidden;
await context.Response.WriteAsync("Invalid Token");
}
else
{
await _next.Invoke(context);
}
}
else
{
context.Response.StatusCode = (int)HttpStatusCode.HttpVersionNotSupported;
await context.Response.WriteAsync("HTTP not supported");
}
}
}
public static class TokenExtensions
{
public static IApplicationBuilder UseTokenAuth(this IApplicationBuilder builder)
{
return builder.UseMiddleware<TokenValidationMiddleware>();
}
}
然后我刚刚添加了app.UseTokenAuth();进入我的启动课程