群友反饋：

群里有小伙伴反饋，在Swagger使用的時候報錯，無法看到列表，這里我說下如何調(diào)試和主要問題：

1、如果遇到問題，這樣的：

請在瀏覽器 =》 F12 ==》 console 控制臺 ==》點擊錯誤信息地址

或者直接鏈接http://localhost:xxxxx/swagger/v1/swagger.json，就能看到錯誤了

2、主要問題就是同一個controller中的同一個請求特性（注意[HttpGet]和[HttpGet("{id}")]是兩個） ，不能同名

主要修改下路由，然后配合修改名字就行

[Route("api/[controller]/[action]")]

4、或者直接在方法上增加路由

　　　　[HttpPost]

? ? ? ? [Route("newPost")]

? ? ? ? publicvoidPost([FromBody]string value)

? ? ? ? {

? ? ? ? }

WHY

書接上文，在前邊的兩篇文章中，我們簡單提到了接口文檔神器Swagger，《從零開始搭建自己的前后端分離【 .NET Core2.0 Api + Vue 2.0 + AOP + 分布式】框架之三 || Swagger的使用 3.1》、《從零開始搭建自己的前后端分離【 .NET Core2.0 Api + Vue 2.0 + AOP + 分布式】框架之四 || Swagger的使用 3.2》，兩個文章中，也對常見的幾個問題做了簡單的討論，最后還剩下一個小問題，

如何給接口實現(xiàn)權(quán)限驗證？

其實關(guān)于這一塊，我思考了下，因為畢竟我的項目中是使用的vue + api 搭建一個前臺展示，大部分頁面都沒有涉及到權(quán)限驗證，本來要忽略這一章節(jié)，可是猶豫再三，還是給大家簡單分析了下，個人還是希望陪大家一直搭建一個較為強大的，只要是涉及到后端那一定就需要?登陸=》驗證了，本文主要是參考網(wǎng)友https://www.cnblogs.com/RayWang/p/9255093.html的思路，我自己稍加改動，大家都可以看看。

根據(jù)維基百科定義，JWT（讀作 [/d??t/]），即JSON Web Tokens，是一種基于JSON的、用于在網(wǎng)絡(luò)上聲明某種主張的令牌（token）。JWT通常由三部分組成: 頭信息（header）, 消息體（payload）和簽名（signature）。它是一種用于雙方之間傳遞安全信息的表述性聲明規(guī)范。JWT作為一個開放的標(biāo)準(zhǔn)（RFC 7519），定義了一種簡潔的、自包含的方法，從而使通信雙方實現(xiàn)以JSON對象的形式安全的傳遞信息。

以上是JWT的官方解釋，可以看出JWT并不是一種只能權(quán)限驗證的工具，而是一種標(biāo)準(zhǔn)化的數(shù)據(jù)傳輸規(guī)范。所以，只要是在系統(tǒng)之間需要傳輸簡短但卻需要一定安全等級的數(shù)據(jù)時，都可以使用JWT規(guī)范來傳輸。規(guī)范是不因平臺而受限制的，這也是JWT做為授權(quán)驗證可以跨平臺的原因。

如果理解還是有困難的話，我們可以拿JWT和JSON類比：

JSON是一種輕量級的數(shù)據(jù)交換格式，是一種數(shù)據(jù)層次結(jié)構(gòu)規(guī)范。它并不是只用來給接口傳遞數(shù)據(jù)的工具，只要有層級結(jié)構(gòu)的數(shù)據(jù)都可以使用JSON來存儲和表示。當(dāng)然，JSON也是跨平臺的，不管是Win還是Linux，.NET還是Java，都可以使用它作為數(shù)據(jù)傳輸形式。

1）客戶端向授權(quán)服務(wù)系統(tǒng)發(fā)起請求，申請獲取“令牌”。

2）授權(quán)服務(wù)根據(jù)用戶身份，生成一張專屬“令牌”，并將該“令牌”以JWT規(guī)范返回給客戶端

3）客戶端將獲取到的“令牌”放到http請求的headers中后，向主服務(wù)系統(tǒng)發(fā)起請求。主服務(wù)系統(tǒng)收到請求后會從headers中獲取“令牌”，并從“令牌”中解析出該用戶的身份權(quán)限，然后做出相應(yīng)的處理（同意或拒絕返回資源）

一、通過Jwt獲取Token，并通過緩存記錄，配合中間件實現(xiàn)驗證

在之前的搭建中，swagger已經(jīng)基本成型，其實其功能之多，不是我這三篇所能寫完的，想要添加權(quán)限，先從服務(wù)開始

在ConfigureServices中，增加以下代碼

View Code

?最終的是這樣的

////// ConfigureServices 方法

? ? ? ? //////publicvoid ConfigureServices(IServiceCollection services)

? ? ? ? {

? ? ? ? ? ? services.AddMvc();

? ? ? ? ? ? #regionSwagger? ? ? ? ? ? services.AddSwaggerGen(c =>? ? ? ? ? ? {

? ? ? ? ? ? ? ? c.SwaggerDoc("v1",new Info

? ? ? ? ? ? ? ? {

? ? ? ? ? ? ? ? ? ? Version ="v0.1.0",

? ? ? ? ? ? ? ? ? ? Title ="Blog.Core API",

? ? ? ? ? ? ? ? ? ? Description ="框架說明文檔",

? ? ? ? ? ? ? ? ? ? TermsOfService ="None",

? ? ? ? ? ? ? ? ? ? Contact =newSwashbuckle.AspNetCore.Swagger.Contact { Name ="Blog.Core", Email ="Blog.Core@xxx.com", Url ="http://www.itdecent.cn/u/94102b59cc2a" }

? ? ? ? ? ? ? ? });

? ? ? ? ? ? ? ? //就是這里#region讀取xml信息varbasePath = PlatformServices.Default.Application.ApplicationBasePath;

? ? ? ? ? ? ? ? varxmlPath = Path.Combine(basePath,"Blog.Core.xml");//這個就是剛剛配置的xml文件名varxmlModelPath = Path.Combine(basePath,"Blog.Core.Model.xml");//這個就是Model層的xml文件名c.IncludeXmlComments(xmlPath,true);//默認(rèn)的第二個參數(shù)是false，這個是controller的注釋，記得修改? ? ? ? ? ? ? ? c.IncludeXmlComments(xmlModelPath);

? ? ? ? ? ? ? ? #endregion#regionToken綁定到ConfigureServices//添加header驗證信息

? ? ? ? ? ? ? ? //c.OperationFilter();varsecurity =newDictionary> { {"Blog.Core",newstring[] { } }, };

? ? ? ? ? ? ? ? c.AddSecurityRequirement(security);

? ? ? ? ? ? ? ? //方案名稱“Blog.Core”可自定義，上下一致即可c.AddSecurityDefinition("Blog.Core",new ApiKeyScheme

? ? ? ? ? ? ? ? {

? ? ? ? ? ? ? ? ? ? Description ="JWT授權(quán)(數(shù)據(jù)將在請求頭中進行傳輸) 直接在下框中輸入{token}\"",

? ? ? ? ? ? ? ? ? ? Name ="Authorization",//jwt默認(rèn)的參數(shù)名稱In ="header",//jwt默認(rèn)存放Authorization信息的位置(請求頭中)Type ="apiKey"? ? ? ? ? ? ? ? });

? ? ? ? ? ? ? ? #endregion? ? ? ? ? ? });

? ? ? ? ? ? #endregion#regionToken服務(wù)注冊? ? ? ? ? ? services.AddSingleton(factory =>? ? ? ? ? ? {

? ? ? ? ? ? ? ? varcache =newMemoryCache(new MemoryCacheOptions());

? ? ? ? ? ? ? ? return cache;

? ? ? ? ? ? });

? ? ? ? ? ? services.AddAuthorization(options =>? ? ? ? ? ? {

? ? ? ? ? ? ? ? options.AddPolicy("Client", policy => policy.RequireRole("Client").Build());

? ? ? ? ? ? ? ? options.AddPolicy("Admin", policy => policy.RequireRole("Admin").Build());

? ? ? ? ? ? ? ? options.AddPolicy("AdminOrClient", policy => policy.RequireRole("Admin,Client").Build());

? ? ? ? ? ? });

? ? ? ? ? ? #endregion? ? ? ? }

然后執(zhí)行代碼，就可以看到效果

圖 1

圖 2

它的作用就是，每次請求時，從Header報文中，獲取密鑰token，這里根據(jù)token可以進一步判斷相應(yīng)的權(quán)限等。

接下來，就是在項目中添加五個文件，如下圖

，圖 3

具體來說：

1：JwtTokenAuth，一個中間件，用來過濾每一個http請求，就是每當(dāng)一個用戶發(fā)送請求的時候，都先走這一步，然后再去訪問http請求的接口

public Task Invoke(HttpContext httpContext)

? ? ? ? {

? ? ? ? ? ? //檢測是否包含'Authorization'請求頭if(!httpContext.Request.Headers.ContainsKey("Authorization"))

? ? ? ? ? ? {

? ? ? ? ? ? ? ? return _next(httpContext);

? ? ? ? ? ? }

? ? ? ? ? ? vartokenHeader = httpContext.Request.Headers["Authorization"].ToString();

? ? ? ? ? ? TokenModelJWT tm = JwtHelper.SerializeJWT(tokenHeader);//序列化token，獲取授權(quán)

? ? ? ? ? ? //授權(quán)varclaimList =newList();

? ? ? ? ? ? varclaim =new Claim(ClaimTypes.Role, tm.Role);

? ? ? ? ? ? claimList.Add(claim);

? ? ? ? ? ? varidentity =new ClaimsIdentity(claimList);

? ? ? ? ? ? varprincipal =new ClaimsPrincipal(identity);

? ? ? ? ? ? httpContext.User = principal;

? ? ? ? ? ? return _next(httpContext);

? ? ? ? }

2：JwtHelper 一個幫助類，可以生成Token，和講Token反序列成model

publicclass JwtHelper

? ? {

? ? ? ? publicstaticstringsecretKey {get;set; } ="sdfsdfsrty45634kkhllghtdgdfss345t678fs";

? ? ? ? ////// 頒發(fā)JWT字符串

? ? ? ? /////////publicstaticstring IssueJWT(TokenModelJWT tokenModel)

? ? ? ? {

? ? ? ? ? ? vardateTime = DateTime.UtcNow;

? ? ? ? ? ? varclaims =new Claim[]

? ? ? ? ? ? {

? ? ? ? ? ? ? ? newClaim(JwtRegisteredClaimNames.Jti,tokenModel.Uid.ToString()),//IdnewClaim("Role", tokenModel.Role),//角色new Claim(JwtRegisteredClaimNames.Iat,dateTime.ToString(),ClaimValueTypes.Integer64)

? ? ? ? ? ? };

? ? ? ? ? ? //秘鑰varkey =new SymmetricSecurityKey(Encoding.UTF8.GetBytes(JwtHelper.secretKey));

? ? ? ? ? ? varcreds =new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

? ? ? ? ? ? varjwt =new JwtSecurityToken(

? ? ? ? ? ? ? ? issuer: "Blog.Core",

? ? ? ? ? ? ? ? claims: claims, //聲明集合expires: dateTime.AddHours(2),

? ? ? ? ? ? ? ? signingCredentials: creds);

? ? ? ? ? ? varjwtHandler =new JwtSecurityTokenHandler();

? ? ? ? ? ? varencodedJwt = jwtHandler.WriteToken(jwt);

? ? ? ? ? ? return encodedJwt;

? ? ? ? }

? ? ? ? ////// 解析

? ? ? ? /////////publicstaticTokenModelJWT SerializeJWT(string jwtStr)

? ? ? ? {

? ? ? ? ? ? varjwtHandler =new JwtSecurityTokenHandler();

? ? ? ? ? ? JwtSecurityToken jwtToken = jwtHandler.ReadJwtToken(jwtStr);

? ? ? ? ? ? objectrole =newobject(); ;

? ? ? ? ? ? try? ? ? ? ? ? {

? ? ? ? ? ? ? ? jwtToken.Payload.TryGetValue("Role",out role);

? ? ? ? ? ? }

? ? ? ? ? ? catch (Exception e)

? ? ? ? ? ? {

? ? ? ? ? ? ? ? Console.WriteLine(e);

? ? ? ? ? ? ? ? throw;

? ? ? ? ? ? }

? ? ? ? ? ? vartm =new TokenModelJWT

? ? ? ? ? ? {

? ? ? ? ? ? ? ? Uid = (jwtToken.Id).ObjToInt(),

? ? ? ? ? ? ? ? Role = role !=null? role.ObjToString() :"",

? ? ? ? ? ? };

? ? ? ? ? ? return tm;

? ? ? ? }

? ? }

3：定義中的TokenModelJWT，是一個令牌類，主要存儲個人角色信息，自己簡單寫一個，也可以是你登陸的時候的用戶信息，或者其他，

publicclass TokenModelJWT

? ? {

? ? ? ? ////// Id

? ? ? ? ///publiclongUid {get;set; }

? ? ? ? ////// 角色

? ? ? ? ///publicstringRole {get;set; }

? ? ? ? ////// 職能

? ? ? ? ///publicstringWork {get;set; }

? ? }

4：將四個文件都添加好后，最后兩步

1、然后再Startup的Configure中，將TokenAuth注冊中間件

2、在需要加權(quán)限的頁面中，增加特性

這個時候，你運行項目，發(fā)現(xiàn)之前寫的都報錯了，

圖 7

別慌！是因為每次操作請求，都會經(jīng)過TokenAuth 中的Invoke方法，方法中對Header信息進行過濾，因為現(xiàn)在Header中，并沒有相應(yīng)的配置信息，看到這里，你就想到了，這個特別像我們常見的[HttpGet]等特性，沒錯！在.Net Core 中，到處都可以看到AOP編程，真的特別強大。

這個時候我們就用到了最開始的那個權(quán)限按鈕

，圖 8

沒錯就是這里，但是我們方法寫好了，那Token如何獲取呢，別急，我們新建一個LoginController，來模擬一次登陸操作，簡單傳遞幾個參數(shù)，將用戶角色和緩存時間傳遞，然后生成Token，并生成到緩存中，為之后做準(zhǔn)備。

////// 獲取JWT的重寫方法，推薦這種，注意在文件夾OverWrite下

? ? ? ? //////id///角色///? ? ? ? [HttpGet]

? ? ? ? [Route("Token2")]

? ? ? ? publicJsonResult GetJWTStr(longid =1,stringsub ="Admin")

? ? ? ? {

? ? ? ? ? ? //這里就是用戶登陸以后，通過數(shù)據(jù)庫去調(diào)取數(shù)據(jù)，分配權(quán)限的操作TokenModelJWT tokenModel =new TokenModelJWT();

? ? ? ? ? ? tokenModel.Uid = id;

? ? ? ? ? ? tokenModel.Role = sub;

? ? ? ? ? ? stringjwtStr = JwtHelper.IssueJWT(tokenModel);

? ? ? ? ? ? return Json(jwtStr);

? ? ? ? }

這個時候我們就得到了我們的Token

圖 9

然后粘貼到我們的上圖權(quán)限窗口中，還記得么

圖 10

接下來，你再調(diào)用窗口，就發(fā)現(xiàn)都可以辣！

WHAT

這一篇呢，寫的比較潦草，主要是講如何使用，具體的細(xì)節(jié)知識，還是大家摸索，還是那句話，這里只是拋磚引玉的作用喲，通過閱讀本文，你會了解到，什么是JWT，如何添加配置.net core 中間件，如何使用Token驗證，在以后的項目里你就可以在登陸的時候，調(diào)用Token，返回客戶端，然后判斷是否有相應(yīng)的接口權(quán)限。

NEXT

好啦！項目準(zhǔn)備階段就這么結(jié)束了，以后咱們就可以直接用swagger來調(diào)試了，而不是沒錯都用F5運行等，接下來我們就要正式開始搭建項目了，主要采用的是泛型倉儲模式 Repository+Service，也是一種常見的模式。

CODE

https://github.com/anjoy8/Blog.Core.git

QQ群：

867095512? ? ?(blod.core)