手把手教你AspNetCore WebApi：认证与授权

这几天小明又有烦恼了，之前给小红的接口没有做认证授权，直接裸奔在线上，被马老板发现后狠狠的骂了一顿，赶紧让小明把授权加上。赶紧Baidu一下，发现大家都在用JWT认证授权，这个倒是挺适合自己的。

Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。

Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

从图中可以看出主要有两部分组成：1、获取Token，2、通过Token进行授权。

首先 ，安装JwtBearer包。

接下来 ，定义一个配置类，我这里为了简单直接用常量代替了，你也可以放在配置文件中。

接下来 ，定义一个通过用户名和密码，获取Token的控制器。

接下来 ，添加Token身份认证到容器（Startup.ConfigureServices）。

接下来 ，添加身份认证到中间件（Startup.Configure）。

接下来 ，控制器需要授权控制的添加[Authorize]。

最后 ，我们测试一下接口，效果如下。

这时会返回401，因为身份认证没有通过，说明身份验证起效果了。

接下来我们访问一下GetAccessToken接口，拿到Token，在访问GetTodo接口时放入Token，我们可以看到访问成功了。

目前为止，小明把授权认证搞定了，赶紧给马老板汇报工作去吧。当然这个授权认证还是非常简单的，还有很多等待的小伙伴们去发掘，比如如何自动刷新Token？如何强制Token失效？OAuth其他实现方式等等？大家如果有兴趣，让小明下次告诉你们。

先打开vs2010软件，找到项目文件，双击web.config

VS2010中web.config配置数据库连接

第一种：取连接字符串

string connString = System.Web.Configuration.WebConfigurationManager.ConnectionStrings["SqlConnStr"].ConnectionString

或者

protected static string connectionString = ConfigurationManager.ConnectionStrings["SqlConnStr"].ConnectionString

web.config文件:加在</configSections>后面

<connectionStrings> <remove name="LocalSqlServer" /> <add name="SqlConnStr" connectionString="user id=xxpassword=xxinitial catalog=database_namedata source=.\sqlxxxx" /> </connectionStrings>

VS2010中web.config配置数据库连接

第二种：取连接字符串：

string myvar=configurationsettings.appsettings["connstring"]

web.config文件:加在<appsettings>和</appsettings>之间

<appsettings><add key="connstring" value="uid=xxpwd=xxdatabase=batabase_nameserver=(local)" /></appsettings>

据说两者通用，但是第二种是asp.net2.0的新特性，建议使用第二种。其实我一直有个疑问，两个字符串中的UID；PWD和User IDPassword是否等价。根据网上我查到的资料是可以互换通用的。

VS2010中web.config配置数据库连接

连接SQL Server数据库的机制与连接Access的机制没有什么太大的区别,只是改变了Connection对象和连接字符串中的不同参数.

首先,连接SQL Server使用的命名空间不是"System.Data.OleDb",而是"System.Data.SqlClient".

其次就是他的连接字符串了,我们一个一个参数来介绍(注意:参数间用分号分隔):　 "user id=sa":连接数据库的验证用户名为sa.他还有一个别名"uid",所以这句我们还可以写成"uid=sa".　 "password=":连接数据库的验证密码为空.他的别名为"pwd",所以我们可以写为"pwd=".　 这里注意,你的SQL Server必须已经设置了需要用户名和密码来登录,否则不能用这样的方式来登录.如果你的SQL Server设置为Windows登录,那么在这里就不需要使用"user id"和"password"这样的方式来登录,而需要使用"Trusted_Connection=SSPI"来进行登录.

initial catalog=Northwind":使用的数据源为"Northwind"这个数据库.他的别名为"Database",本句可以写成"Database=Northwind".　 "Server=YourSQLServer":使用名为"YourSQLServer"的服务器.他的别名为"Data Source","Address","Addr".如果使用的是本地数据库且定义了实例名,则可以写为"Server=(local)\实例名"如果是远程服务器,则将"(local)"替换为远程服务器的名称或IP地址.　 "Connect Timeout=30":连接超时时间为30秒.

在这里,建立连接对象用的构造函数为:SqlConnection.

7

最后要保存你所更改的文件，右键 保存（ctrl+S）.

---