JWT Authentication en Authorization in .NET Core 5.0

Wat is JWT?

JWT staat voor de afkorting JSON Web Token. JWT authenticatie is een manier om veilig informatie uit te wisselen via JSON-object. De informatie is digitaal getekend. De digitale handtekening kan bestaan uit een secret (HMAC algoritme) , public of private key (RSA of ECDSA).

JWT bestaat uit:

Header
Payload
Signature

Meer technische informatie kan je hier vinden. Voorbeeld JSON Web Token:

Copy to Clipboard

Implementatie

Hoe implementeren we dit nu in de praktijk?

Wat hebben we nodig ?

Visual Studio 2019 of VsCode (Voor deze tutorial zal ik Visual Studio gebruiken)
.Net Core 3.1 (normaal reeds mee geïnstalleerd bij Visual studio)

Let’s go!

Nieuw project aanmaken.

Visual Studio -> Create New Project -> Asp.Net Core Web application -> Select Web Api Template -> Create.

NuGet Package installeren:

Rechts klikken op het project => Manage NuGet package.
Zoek naar: Microsoft.AspNetCore.Authentication.JwtBearer.
Klik op installeren.

Aanpassen Startup.cs

In de methode ConfigureService() gaan we JWT authenticatie gaan registreren.

Copy to Clipboard

Aanpassen appsettings.json met de nodige JWT parameters

Copy to Clipboard

Beschikbaar maken van de authenticatie service in de applicatie

Om dit mogelijk te maken moeten we de app.UseAuthentication in de Configure() methode aanpassen.

Copy to Clipboard

Update Startup.cs ConfigureService() methode en voeg de authorization code toe

Copy to Clipboard

Voor de autorisatie gaan we gebruik maken van Policies:

Admin
User

We gaan een nieuwe folder: “Models” aanmaken. In deze folder maak een nieuwe class Policies.cs.

Copy to Clipboard

Om een policy te kunnen gebruiken hebben we ook een User nodig. Hiervoor gaan we ook in het mapje models een User.cs class aanmaken.

Copy to Clipboard

Generen van een JSON Web Token

We hebben nu alle configuratie achter de rug. Volgende wat we moeten voorzien is een API controller die methoden Login() , AuthenticateUser(), GenerateJWTToken bevatten.

Maak in de folder controllers een nieuwe controller aan : LoginController.cs.

De LoginMethode is voorzien met een attribute [AllowAnonymous] en zal via een API call aangeroepen worden zonder dat er ingelogd moet worden.

Via de methode AuthenticateUser controleren we nu via een static list of de gebruiker bestaat in combinatie met een correct wachtwoord. In de praktijk gaan we hier naar de database om de gebruikers zijn gegevens af te toetsen.

Het effectief genereren van een JWT Token gebeurt in de GenerateJWTToken. Hier gaan we alle parameters omzetten (geldigheidsduur, claim, …) in een geldig JWT token. Zoals we kunnen zien is de token opgebouwd aan de hand van de configuratie die we in de appsettings.json geconfigureerd hebben (_config[“Jwt:SecretKey”])).

Claims here are the data contained by token they are informed about the user which is used to authorize the access the resource. Claims are formed using key-value pairs here in our case we are storing full name and role using claims.

Finally, JwtSecurityTokenHandler.WriteToken method is used to generate the JWT. This method expects an object of the JwtSecurityToken class.

Copy to Clipboard

using System;
using System.Collections.Generic;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Security.Claims;
using System.Text;
using KommaBoardDemo.Models;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Configuration;
using Microsoft.IdentityModel.Tokens;

namespace KommaBoardDemo.Controllers
{
    [ApiController]
    [Route("[controller]")]
    public class LoginController : ControllerBase
    {
        private readonly IConfiguration _config;

private List<User> appUsers = new List<User>
        {
            new User {  FullName = "KommaBoardAdmin",  UserName = "admin", Password = "1234", UserRole = "Admin" },
            new User {  FullName = "Tom",  UserName = "user", Password = "1234", UserRole = "User" }
        };

public LoginController(IConfiguration config)
        {
            _config = config;
        }

[HttpPost]
        [AllowAnonymous]
        public IActionResult Login([FromBody] User login)
        {
            IActionResult response = Unauthorized();
            User user = AuthenticateUser(login);
            if (user != null)
            {
                var tokenString = GenerateJWTToken(user);
                response = Ok(new
                {
                    token = tokenString,
                    userDetails = user,
                });
            }
            return response;
        }

User AuthenticateUser(User loginCredentials)
        {
            User user = appUsers.SingleOrDefault(x => x.UserName == loginCredentials.UserName && x.Password == loginCredentials.Password);
            return user;
        }

string GenerateJWTToken(User userInfo)
        {
            var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config["Jwt:SecretKey"]));
            var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);

var claims = new[]
            {
                new Claim(JwtRegisteredClaimNames.Sub, userInfo.UserName),
                new Claim("fullName", userInfo.FullName.ToString()),
                new Claim("role",userInfo.UserRole),
                new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
            };

var token = new JwtSecurityToken(
                issuer: _config["Jwt:Issuer"],
                audience: _config["Jwt:Audience"],
                claims: claims,
                expires: DateTime.Now.AddMinutes(30),
                signingCredentials: credentials
            );
            return new JwtSecurityTokenHandler().WriteToken(token);
        }
    }
}

Opvragen van data

Onze laatste stap is het effectief opvragen van eventuele data die niet voor iedereen toegankelijk is.

Als concreet voorbeeld hebben we hier een Order controller gemaakt.

In ingelogde User zal andere data ontvangen dan een Administrator en kan ook geen methode van elkaar opvragen. Deze instellingen komt door de attributes die we boven de methoden gedeclareerd hebben.

Copy to Clipboard

Testen

Start de API op en je zal meteen UI van swagger voor je zien.

De code is klaar en we kunnen we beginnen met testen a.d.h.v. Swagger of Postman.

Let op! Indien we via Swagger gaan testen moeten we volgende configuratie in de startup.cs (ConfigureServices method) gaan updaten om makkelijk een JWT te kunnen toevoegen na het inloggen.

Copy to Clipboard

services.AddSwaggerGen(c =>
            {

c.SwaggerDoc("v1", new OpenApiInfo { Title = "KommaBoardDemo", Version = "v1" });
                // To Enable authorization using Swagger (JWT)  
                c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme()
                {
                    Name = "Authorization",
                    Type = SecuritySchemeType.ApiKey,
                    Scheme = "Bearer",
                    BearerFormat = "JWT",
                    In = ParameterLocation.Header,
                    Description = "First call the login call. \r\n\r\n Enter Bearer [space] and then your token in the text input below.\r\n\r\nExample: \"Bearer 12345abcdef\"",
                });
                c.AddSecurityRequirement(new OpenApiSecurityRequirement
                {
                    {
                          new OpenApiSecurityScheme
                            {
                                Reference = new OpenApiReference
                                {
                                    Type = ReferenceType.SecurityScheme,
                                    Id = "Bearer"
                                }
                            },
                            new string[] {}

}
                });
            });
        }

Copy to Clipboard

ICT Careers

Finance Careers

JWT Authentication en Authorization in .NET Core 5.0

Wat is JWT?

ICT Careers

Finance Careers

JWT Authentication en Authorization in .NET Core 5.0

Wat is JWT?

Cookies