c# asp.net 中使用token验证

基于token的鉴权机制类似于http协议也是无状态的，它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了，这就为应用的扩展提供了便利。

流程上是这样的：

• 用户使用用户名密码来请求服务器
• 服务器进行验证用户的信息
• 服务器通过验证发送给用户一个token
• 客户端存储token，并在每次请求时附送上这个token值
• 服务端验证token值，并返回数据

这个token必须要在每次请求时传递给服务端，它应该保存在请求头里。

OK，按照上述的流程，首先我们应当拿到登录的账户，密码等信息，验证通过后，生成TOKEN并发送给客户端，之后客户端的每个请求只需带上这个TOKEN，服务器端对这个TOKEN验证，验证通过后即可访问服务器资源，。

具体在C#中如何模仿这个流程呢？

• 用户使用用户名密码来请求服务器
• 服务器进行验证用户的信息

上述二个步骤其实是个登录过程，在此不作说明！

• 服务器通过验证发送给用户一个token

发送给客户端一个Token，这个就需要我们生成Token了，那么怎样生成呢？理论模块可参考：Token的组成部分：Token存放的信息

 1、用C#生成Token：

首先引入JWT.dll

Token生成的具体代码如下：

2、将生成的Token发送给客户端后，随后，客户端的每次请求只需带上这个Token即可

一般都是将Token存放在Http请求的Headers中，也就是：context.Request.Headers，那么如何接收请求头中的Token呢？接收到Token后如何验证呢？

验证TOKEN时就需要构建 MVC Action 过滤器（AuthorizeAttribute）了，不过在构建 AuthorizeAttribute 之前，有必要对 AuthorizeAttribute 说明下，如下：

首先，AuthorizeAttribute 类位于System.Web.Http 命名空间下及System.Web.Mvc命名空间下,

一般情况下，如果你需要对C# MVC 控制器的访问作认证与授权，你需要用System.Web.Mvc命名空间下的 AuthorizeAttribute ，如果你需要对C# API 控制器的访问作认证与授权，你需要用System.Web.Http 命名空间下的 AuthorizeAttribute !

OK，知道了上述两种不同命名空间下的 AuthorizeAttribute ，下面以范例作为说明：

2.1、自定义MVC ACTION 登录授权验证，（由于本篇博客主讲 Token 的验证与实现，因此，关于MVC 登录验证只做代码说明：）

2.1.1、新建一个MVC控制器，命名为BaseController，代码如下：

2.2.2、新建一个MVC控制器，命名为HomeController，代码如下：

2.2.3、新建一个登录实体类，命名为：LoginsModel，代码如下：

2.2.4、修改你的Global.asax文件，修改代码如下：

2.2.5、公共访问类CommonCS部分代码如下：

2.2.6、公共Token生成类代码如下：

2.2.7、新建一个登录页面，Login.cshtml代码如下：

@{
    Layout = null;
}





    
    
    
    
    
    
    


   
    

        

          

            

              

                
                
账户登录
              
            
            

              

                
                
                手机号码：
              
            
            

              

                
                
                密码：
              
            
            
          
              

                  
                  记住我
              
            
            

              

                登　录
              
            
            

               

                

              
              

                  
忘记密码?
              
          
                
          
        
      
    
    
    
    
    
      
      

2.2.8、新建一个登录验证属性，继承自：System.Web.Mvc.AuthorizeAttribute，代码如下：(千呼万唤始出来啊......~_~)

2.2.9、新建一个MVC 控制器 ，命名为：MangerController，代码如下：

上述代码就不做演示了，大致过程是这样的：

Manger/Index的访问权限如下：

登录用户：

上述截图已经很清晰了，不再作重复说明。

OK，上述代码便是整个MVC 控制器 登录验证/授权认证的全部代码。下面我们请出本文终极BOSS，如果接收并解析验证接收的TOKEN。

 3、下面介绍webAPI Controller 的认证授权

3.1、首先，我们自定义一个继承自System.Web.Http 命名空间下的AuthorizeAttribute 属性来解析并验证TOKEN

代码如下：

3.2、新增一个存储解析Token结果的类，命名为SysHelper.cs，代码如下：

3.3、公共Token生成方法修改如下：

3.4、定义一个MVC API Controller 代码如下：

OK，有了上述代码我们就可以模拟TOKEN验证了，模拟步骤如下：/

3.5、模拟TOKEN验证：

3.5.1、生成TOKEN，代码如下：

生成的TOKEN为：eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiLnrb7lj5HogIXkv6Hmga8iLCJpYXQiOjE1MDk2OTEyODQsImV4cCI6MTUwOTY5ODQ4NCwiYXVkIjoiaHR0cDovL2V4YW1wbGUuY29tIiwic3ViIjoiSG9tZUNhcmUuVklQIiwianRpIjoiMjAxNzExMDMwMjQxMTkiLCJVc2VySWQiOjEsIlVzZXJOYW1lIjoiamFjay5jaGVuIiwiVXNlclB3ZCI6ImphY2sxMjM0NTYiLCJVc2VyUm9sZSI6IkhvbWVDYXJlLkFkbWluaXN0cmF0b3IifQ.IryLo19SSghi34LD1PNIOmzgzavQrnmGBD42pdojXtg

3.5.2、将获取的TOKEN（有效期两个小时）返回至客户端，客户端将获取的TOKEN放在 请求头 Headers 中，模拟请求如下（PostMan）：

OK，将上述TOKEN随便去掉一个字母，请求结果如下：

过期的TOKEN，请求如下：

项目源码位置：http://download.csdn.net/download/wolongbb/10102574

 内容 参照 @陈卧龙的博客