ToB企服应用市场:ToB评测及商务社交产业平台

标题: .net 8 实现【JWT】十分钟领略【无状态计划】token [打印本页]

作者: 商道如狼道 时间: 2024-11-14 03:48
标题: .net 8 实现【JWT】十分钟领略【无状态计划】token
本文主要分为两个部分：
1、概念
2、.net 8 demo
第一部分主要描述所有与 JWT 相关的概念以及词汇，及其原理；第二部分是代码示例。

1、概念

JWT	json web token 是一种开放标准（RFC 7519），是指定一种数据格式(json) 和数据结构 (header, payload, signature) ，用于网络应用间信息传输，一般是用于客户端与服务器之间的安全校验
authentication	鉴权；可以为用户创建 token，可以校验 token 有效性
authorization	批准 / 授权；是一种配置，约束访问条件，比方： [Authorize(Roles = "Admin")] // 管理员才可访问 [Authorize(Policy = "EmployeeWithDepartment")] // 符合特定策略才可访问
bearer	持票人，使用场景在于请求时，header 的格式比方请求头部的参数 "Authorization" : "Bearer tokenString"

一个 token 由 3 个部分构成，而且以实心句号 . 分割，以下为一个 token 示例：
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoidXNlcjEyMyIsIm5iZiI6MTczMTM5MzYzNiwiZXhwIjoxNzMxMzk3MjM2LCJpYXQiOjE3MzEzOTM2MzYsImlzcyI6InlvdXJkb21haW4uY29tIiwiYXVkIjoieW91ci1hcGktYXVkaWVuY2UifQ.q2zUeZ3RAVIxg5CVNI2Pjq9Nfvue3_tCQagDRJmStYI

	token part	decode (by base64)	remark
header	eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg" : "HS256", "typ" : "JWT" }	token metadata 说明用于加密的算法范例
payload (有效载荷)	eyJuYW1lIjoidXNlcjEyMyIsIm5iZiI6MTczMTM5MzYzNiwiZXhwIjoxNzMxMzk3MjM2LCJpYXQiOjE3MzEzOTM2MzYsImlzcyI6InlvdXJkb21haW4uY29tIiwiYXVkIjoieW91ci1hcGktYXVkaWVuY2UifQ	{ "name": "user123", "nbf": 1731393636, "exp": 1731397236, "iat": 1731393636, "iss": "yourdomain.com", "aud": "your-api-audience" }	自定义的用户信息(claims)，以及一些须要信息： nbf : not before, token 生效时间 exp : expiration time, token 过期时间 iat : issued at 签发时间 iss : issuer of the token 签发者(比如服务端名字) aud : audience，该 token 的受众，可以是服务名称或者 api 名称等等
signature	q2zUeZ3RAVIxg5CVNI2Pjq9Nfvue3_tCQagDRJmStYI	N/A	signature：是根据 header 中指定的算法以及在服务端密钥，对 payload 加密得到的哈希值；用于服务端校验 token 是否签发自服务端。（请求时 token 的 payload 与解密 signature 后得到的payload 需要一致，以是擅改 payload 会导致token 无效）无状态(stateless)：指服务端不需要存储任何关于用户会话的信息。 signature 的计划包管了 token 的安全性，以是不再需要另外存储用户会话状态，以此淘汰服务端压力和复杂性，做到“无状态”化。

* base64 transfer online : Base64编码_base64在线解码_base64加密在线转换

2、.net 8 demo

2.1 Authentication

包引用

using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;

复制代码

创建 token 的方法

1 public string GenerateJwtToken(string userName)
2 {
3
4 var tokenHander = new JwtSecurityTokenHandler();
5 var key = Encoding.ASCII.GetBytes("your secret key");
6 var tokenDescriptor = new SecurityTokenDescriptor
7 {
8 // configure the custome information in the Claim instance
9 Subject = new System.Security.Claims.ClaimsIdentity(new[] { new Claim("name", userName) }),
10
11 // configure the expiration time
12 Expires = DateTime.UtcNow.AddHours(1),
13
14 // issuer could be your service name or other, and it will be the [iss] of the token
15 Issuer = "xx Servicing",
16
17 // audience could be the audience of your service, and it will be the [aud] of the token
18 Audience = "your api audience",
19
20 // configure secret algorithm and secret key for signature part
21 SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
22
23 };
24
25 var token = tokenHander.CreateToken(tokenDescriptor);
26 return tokenHander.WriteToken(token);
27 }

复制代码

验证 token 的配置

1 builder.Services.AddAuthentication(options =>
2 {
3 options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
4 options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
5 })
6 .AddJwtBearer(options =>
7 {
8 options.TokenValidationParameters = new TokenValidationParameters
9 {
10 // validate the token expiration
11 ValidateLifetime = true,
12
13 // validate signature
14 ValidateIssuerSigningKey = true,
15
16 // need to sure the issuer/audience value here is same with the issuer/audience while token generating
17 ValidateIssuer = true,
18 ValidateAudience = true,
19 ValidIssuer = "yourdomain.com",
20 ValidAudience = "your-api-audience",
21
22 //ValidateIssuer = false, // Skip issuer validation
23 //ValidateAudience = false, // Skip audience validation
24
25 IssuerSigningKey = new SymmetricSecurityKey("your secret key"),
26 ClockSkew = TimeSpan.FromMinutes(5) // Allow for clock skew
27
28 };
29
30 });

复制代码

开启 authentication 和 authorization

1 app.UseAuthentication();
2 app.UseAuthorization();

复制代码

！注意：
1、此处的 Authentication，Authorization 都是 Miscroft.AspNetCore 自带的中心件。
2、Authentication 是鉴权，Authorization 是授权 / 批准，这两个中心件的位置不能错，必须是：鉴权在前。

Authentication 中心件主要负责验证 token ，比如检查签名是否正确，检查 token 有效期。
当 Authentication 中心件成功验证令牌后，它会将 token 中的用户信息（像是用户ID、角色等）写入到 httpContext，再传递给 Authorization 中心件。此时，Authorization 会拿到有效的 httpContext.User 属性，这是一个 ClaimsPrincipal 对象，包含了用户信息声明（claims）；
若绕开了 Authentication 中心件，httpContext 直接到 Authorization ，此时会找不到正当的 httpContext.User，以是返回 401 Unauthorized 错误。

2.2 Authorization

2.2.1 Authorize

1 // 标注 Authorize 后访问该api时会验证token
2 [Authorize]
3 [HttpGet("GetList")]
4 public IEnumerable<WeatherForecast> GetList()
5 {
6 ..
7 }

复制代码

2.2.2 Policy 策略

1 // 在 Startup.cs 中配置策略
2 services.AddAuthorization(options =>
3 {
4 options.AddPolicy("Over18", policy =>
5 policy.RequireClaim("Age", "18")); // 验证 token 中的 age 参数是否等于 18
6 });
7
8 // 在 Controller 中使用策略
9 [Authorize(Policy = "Over18")]
10 public IActionResult RestrictedContent()
11 {
12 ..
13 }

复制代码

1 // 验证 token 中的 role 参数是否 ("Admin", "Manager")中的成员，注：大小写敏感
2 services.AddAuthorization(options =>
3 {
4 options.AddPolicy("AdminOrManager", policy =>
5 policy.RequireRole("Admin", "Manager"));
6 });
7
8 // 多个“并且”条件的声明
9 services.AddAuthorization(options =>
10 {
11
12 options.AddPolicy("EmployeeWithDepartment", policy =>
13 policy.RequireClaim("EmployeeNumber")
14 .RequireClaim("Department", "HR", "IT"));
15 });

复制代码

2.2.3 AllowAnonymous

[Authorize] 可以修饰在 controller 上，这意味着该 controller 下的所有 api 都需要验证token，此时可以通过修饰 [AllowAnonymous] 特别指定某一个 api 不需要 token 验证。

1 [Authorize]
2 public class AccountController : Controller
3 {
4
5 [AllowAnonymous]
6 public IActionResult Login()
7 {
8 ..
9 }
10
11
12 public IActionResult Logout()
13 {
14 ..
15 }
16
17 }

复制代码

博客园的编辑器也太难用了吧！！
2024-11-13

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)