2、.net 8 demo
第一部分主要描述所有与 JWT 相关的概念以及词汇,及其原理;第二部分是代码示例。
| json web token 是一种开放标准(RFC 7519),是指定一种数据格式(json) 和数据结构 (header, payload, signature) ,
| authentication
| 鉴权;可以为用户创建 token,可以校验 token 有效性
| authorization
| 批准 / 授权;是一种配置,约束访问条件,比方:
[Authorize(Roles = "Admin")] // 管理员才可访问
[Authorize(Policy = "EmployeeWithDepartment")] // 符合特定策略才可访问
| bearer
| 持票人,使用场景在于请求时,header 的格式
比方请求头部的参数 "Authorization" : "Bearer tokenString"
一个 token 由 3 个部分构成,而且以实心句号 . 分割,以下为一个 token 示例:
| token part
| decode (by base64)
| remark
| header
| eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
| { "alg" : "HS256", "typ" : "JWT" }
| token metadata
| payload
| eyJuYW1lIjoidXNlcjEyMyIsIm5iZiI6MTczMTM5MzYzNiwiZXhwIjoxNzMxMzk3MjM2LCJpYXQiOjE3MzEzOTM2MzYsImlzcyI6InlvdXJkb21haW4uY29tIiwiYXVkIjoieW91ci1hcGktYXVkaWVuY2UifQ | {
"name": "user123",
"nbf": 1731393636,
"exp": 1731397236,
"iat": 1731393636,
"iss": "yourdomain.com",
"aud": "your-api-audience"
| 自定义的用户信息(claims),
nbf : not before, token 生效时间
exp : expiration time, token 过期时间
iat : issued at 签发时间
iss : issuer of the token 签发者(比如服务端名字)
aud : audience,该 token 的受众,可以是服务名称 或者 api 名称等等
| signature
| q2zUeZ3RAVIxg5CVNI2Pjq9Nfvue3_tCQagDRJmStYI
| N/A
| signature:是根据 header 中指定的算法以及在服务端密钥,对 payload 加密得到的哈希值;
用于服务端校验 token 是否签发自服务端。
(请求时 token 的 payload 与解密 signature 后得到的payload 需要一致,以是擅改 payload 会导致token 无效)
signature 的计划包管了 token 的安全性,以是不再需要另外存储用户会话状态,以此淘汰服务端压力和复杂性,做到“无状态”化。
| * base64 transfer online : Base64编码_base64在线解码_base64加密在线转换
2.1 Authentication
包引用- using Microsoft.IdentityModel.Tokens;
- using System.IdentityModel.Tokens.Jwt;
- using System.Security.Claims;
复制代码 创建 token 的方法- 1 public string GenerateJwtToken(string userName)
- 2 {
- 3
- 4 var tokenHander = new JwtSecurityTokenHandler();
- 5 var key = Encoding.ASCII.GetBytes("your secret key");
- 6 var tokenDescriptor = new SecurityTokenDescriptor
- 7 {
- 8 // configure the custome information in the Claim instance
- 9 Subject = new System.Security.Claims.ClaimsIdentity(new[] { new Claim("name", userName) }),
- 10
- 11 // configure the expiration time
- 12 Expires = DateTime.UtcNow.AddHours(1),
- 13
- 14 // issuer could be your service name or other, and it will be the [iss] of the token
- 15 Issuer = "xx Servicing",
- 16
- 17 // audience could be the audience of your service, and it will be the [aud] of the token
- 18 Audience = "your api audience",
- 19
- 20 // configure secret algorithm and secret key for signature part
- 21 SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
- 22
- 23 };
- 24
- 25 var token = tokenHander.CreateToken(tokenDescriptor);
- 26 return tokenHander.WriteToken(token);
- 27 }
验证 token 的配置- 1 builder.Services.AddAuthentication(options =>
- 2 {
- 3 options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
- 4 options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
- 5 })
- 6 .AddJwtBearer(options =>
- 7 {
- 8 options.TokenValidationParameters = new TokenValidationParameters
- 9 {
- 10 // validate the token expiration
- 11 ValidateLifetime = true,
- 12
- 13 // validate signature
- 14 ValidateIssuerSigningKey = true,
- 15
- 16 // need to sure the issuer/audience value here is same with the issuer/audience while token generating
- 17 ValidateIssuer = true,
- 18 ValidateAudience = true,
- 19 ValidIssuer = "yourdomain.com",
- 20 ValidAudience = "your-api-audience",
- 21
- 22 //ValidateIssuer = false, // Skip issuer validation
- 23 //ValidateAudience = false, // Skip audience validation
- 24
- 25 IssuerSigningKey = new SymmetricSecurityKey("your secret key"),
- 26 ClockSkew = TimeSpan.FromMinutes(5) // Allow for clock skew
- 27
- 28 };
- 29
- 30 });
开启 authentication 和 authorization- 1 app.UseAuthentication();
- 2 app.UseAuthorization();
1、此处的 Authentication,Authorization 都是 Miscroft.AspNetCore 自带的中心件。
2、Authentication 是鉴权,Authorization 是授权 / 批准,这两个中心件的位置不能错,必须是:鉴权在前。
Authentication 中心件主要负责验证 token ,比如检查签名是否正确,检查 token 有效期。
当 Authentication 中心件成功验证令牌后,它会将 token 中的用户信息(像是用户ID、角色等)写入到 httpContext,再传递给 Authorization 中心件。此时,Authorization 会拿到有效的 httpContext.User 属性,这是一个 ClaimsPrincipal 对象,包含了用户信息声明(claims);
若绕开了 Authentication 中心件,httpContext 直接到 Authorization ,此时会找不到正当的 httpContext.User,以是返回 401 Unauthorized 错误。
2.2 Authorization
2.2.1 Authorize
- 1 // 标注 Authorize 后访问该api时会验证token
- 2 [Authorize]
- 3 [HttpGet("GetList")]
- 4 public IEnumerable<WeatherForecast> GetList()
- 5 {
- 6 ..
- 7 }
2.2.2 Policy 策略
- 1 // 在 Startup.cs 中配置策略
- 2 services.AddAuthorization(options =>
- 3 {
- 4 options.AddPolicy("Over18", policy =>
- 5 policy.RequireClaim("Age", "18")); // 验证 token 中的 age 参数是否等于 18
- 6 });
- 7
- 8 // 在 Controller 中使用策略
- 9 [Authorize(Policy = "Over18")]
- 10 public IActionResult RestrictedContent()
- 11 {
- 12 ..
- 13 }
复制代码 - 1 // 验证 token 中的 role 参数是否 ("Admin", "Manager")中的成员,注:大小写敏感
- 2 services.AddAuthorization(options =>
- 3 {
- 4 options.AddPolicy("AdminOrManager", policy =>
- 5 policy.RequireRole("Admin", "Manager"));
- 6 });
- 7
- 8 // 多个“并且”条件的声明
- 9 services.AddAuthorization(options =>
- 10 {
- 11
- 12 options.AddPolicy("EmployeeWithDepartment", policy =>
- 13 policy.RequireClaim("EmployeeNumber")
- 14 .RequireClaim("Department", "HR", "IT"));
- 15 });
2.2.3 AllowAnonymous
[Authorize] 可以修饰在 controller 上,这意味着该 controller 下的所有 api 都需要验证token,此时可以通过修饰 [AllowAnonymous] 特别指定某一个 api 不需要 token 验证。- 1 [Authorize]
- 2 public class AccountController : Controller
- 3 {
- 4
- 5 [AllowAnonymous]
- 6 public IActionResult Login()
- 7 {
- 8 ..
- 9 }
- 10
- 11
- 12 public IActionResult Logout()
- 13 {
- 14 ..
- 15 }
- 16
- 17 }
