当前位置: 开发笔记 > 编程语言 > 正文

.NetCore采取JWT方式进行身份认证

作者：鱼鱼de眼泪2012 | 来源：互联网 | 2023-10-11 18:17

验证与授权Authentication(身份认证)认证是系统对请求的用户进行身份识别的过程。Authorization（授权）授权是对认证通过后的用户进行权限分配的过程。授权简单

验证与授权

Authentication(身份认证)

认证是系统对请求的用户进行身份识别的过程。

Authorization （授权）

授权是对认证通过后的用户进行权限分配的过程。授权简单理解就是：识别认证后用户所拥有哪些权限，从而开放服务器相对应的资源；

我们通俗点来解释身份验证与授权：验证确认用户是否允许访问，授权给予登录后的用户指定权限标识(通过这个标识，服务端可允许用户进行访问和操作)；

在进行讲解Jwt身份认证前我们来回一下过去我们在MVC、WebForm这些站点都是怎样进行身份认证的。

我想应该大多数都是基于COOKIE、Form表单的身份验证方式吧。

COOKIE验证方式的流程图如下:

.NetCore采取JWT方式进行身份认证

上面流程就是服务端在接收用户登录请求后创建COOKIE并保存在服务器上，然后通过Response.COOKIEs.Add将COOKIE返回客户端。

客户端浏览器可以记住服务器返回的COOKIE，记住后COOKIE值会存储在客户端硬盘上，下次访问站点时候Http请求头会携带COOKIE。

携带COOKIE的请求到服务端后，服务端进行验证，验证通过后即可正返回请求的资源，否则会跳转到登录页面。

COOKIE方式的缺点

了解到COOKIE方式的验证流程后可以发现它是对Http请求强加了一层“会话”，让我们的Http请求携带与身份认证相关的标识(COOKIE)。

那这种方式有什么不好的呢？我总结了下面几点:

1、对有多种客户端(APP、浏览器、Winform应用)请求的场景不好扩展；
2、对分布式架构的服务端不好扩展，客户端的请求不一定指向同一台服务器，每一台服务器都需存储针对已登录的用户COOKIE；
3、跨域访问问题；

Jwt身份验证方式

在多终端，分布式架构的服务无所不在的今天，COOKIE身份认证的方式显然是难以满足我们的，这个时候Jwt(Json Web Token)横空出世啦~

使用Jwt我们可以完美的解决上面的遗留问题(当然后面也会说到jwt本身存在的问题....)

我们先看下Jwt的身份验证流程:

.NetCore采取JWT方式进行身份认证

根据流程图得知jwt是在返回Token给客户端后要求客户端在Http请求头里携带载有Jwt信息的Authorization对象。

服务端会通过密钥对Jwt信息进行解密和验证，验证通过后会返回客户端所请求的资源。

根据流程我们得知jwt至少依赖这几项:

1、服务端的密钥；

2、客户端请求需指定格式(请求头携带Token)；

其中密钥是客户端接触不到的，客户端所拥有的其实就是服务端生成的Token，这个Token是由三部分组成：

1、Header(包含算法和Token的类型：jwt)

2、PayLoad(负载，可配置的一些标识数据，不要将敏感信息写入到PayLoad内)

3、验签

其中Header和PayLoad只是在服务端进行了base64转码，所以如果有人抓取了Http请求是可以轻易截取里面的数据，我们

使用过程中千万不要将一些敏感信息放置里面。想详细了解Jwt信息可以到官网看看，官网地址:https://jwt.io/

.Net Core进行Jwt身份认证

.NetCore上使用Jwt身份认证非常简单，我们在Startup.cs文件的ConfigureServices里加入以下代码:

 1   services.AddAuthentication(x =>
 2             {
 3                 x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
 4                 x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
 5             }).AddJwtBearer(x =>
 6             {
 7                 //获取权限是否需要HTTPS
 8                 x.RequireHttpsMetadata = false;
 9                 //在成功的授权之后令牌是否应该存储在Microsoft.AspNetCore.Http.Authentication.AuthenticationProperties中
10                 x.SaveToken = true;
11                 
12                 x.TokenValidatiOnParameters= new TokenValidationParameters
13                 {
14                     //是否验证秘钥
15                     ValidateIssuerSigningKey = true,
16                     IssuerSigningKey = new SymmetricSecurityKey(key),
17                     ValidateIssuer = false,
18                     ValidateAudience = false
19                 };
20             });

在Startup里的Configure方法必须添加下面这行代码，且要求写在 app.UseMvc();前面。

app.UseAuthentication(); //引用身份认证服务

上面的关键代码是Startup里的代码。它明确告知系统采取Jwt验证方式为默认的身份认证方式、秘钥的

生成方式,以及一些验证相关的参数配置。

OK，现在我们已经明确了验证方式了，那我们创建Token是在哪里创建的呢？

我们来看看下面代码：

 1         private TokenDto CreateToken(User user)
 2         {
 3             // JwtSecurityTokenHandler可以创建Token
 4             var tokenHandler = new JwtSecurityTokenHandler();
 5             var key = Encoding.ASCII.GetBytes(_appSettings.Secret);
 6             DateTime tokenExpires = DateTime.Now.AddMinutes(3); //过期时间这里写死
 7             DateTime refRefreshTokenExpires = tokenExpires.AddMinutes(-1);
 8             var tokenDescriptor = new SecurityTokenDescriptor
 9             {
10                 Subject = new ClaimsIdentity(new Claim[]
11                 {
12                     //添加申明，申明可以自定义，可以无限扩展，对于后续的身份验证通过后的授权特别有用...
13                     new Claim(ClaimTypes.Name, user.Id.ToString()),
14                     new Claim("refRefreshTokenExpires",refRefreshTokenExpires.ToString()),
15                     new Claim("tokenExpires",tokenExpires.ToString())
16                 }),
17                 Expires = tokenExpires,
18                 IssuedAt = DateTime.Now, //Token发布时间
19                 Audience = "AuthTest", //接收令牌的受众
20                 //根据配置文件的私钥值设置Token
21                 SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
22             };
23             var token = tokenHandler.CreateToken(tokenDescriptor);
24             user.Token = tokenHandler.WriteToken(token);
25             TokenDto output = Mapper.Map(user);
26             output.RefRefreshToken = Guid.NewGuid().ToString();
27             output.RefRefreshTokenExpires = refRefreshTokenExpires.ToString("yyyy-MM-dd HH:mm:ss");
28             output.Token = user.Token;
29             UserRefreshTokenData(user, output);
30             return output;
31         }

上面代码是包含了刷新Token和刷新Token时间的创建Token方法。

我在验证用户账号密码正确后即调用上面方法将Token返回给客户端，要求客户端在后续的API里必须携带Token来进行访问。

Token的有效时间我在上面写死了为三分钟，即三分钟后访问需授权的接口都会报http响应码为401的错误，如果需要解决则

要求客户端在刷新时间内，携带刷新Token值、刷新时间来调用刷新Token接口获取刷新后的Token值。

刷新Token方法；

 1    public TokenDto RefreshToken(TokenDto oldTokenDto)
 2         {
 3             TokenDto output = new TokenDto();
 4             //如果有刷新Token值对应的用户则刷新Token以及RefRefreshToken
 5             var user = _users.FirstOrDefault(p => p.RefRefreshToken == oldTokenDto.RefRefreshToken
 6                                             && Convert.ToDateTime(oldTokenDto.RefRefreshTokenExpires) > DateTime.Now);
 7             if (user != null)
 8             {
 9                 output = CreateToken(user);
10             }
11             return output;
12         }

至此，.NetCore采取JWT验证身份方式就写好了，包含了刷新Token。

对了，还没有总结JWT的劣势，劣势我捋了下面几点:

1、没有一个很方便的撤销已颁发的JWT令牌方法；

2、续签(刷新Token)增加了客户端的工作量(需要客户端在请求前验证刷新Token时间)；

3、Token的加密与解密是与开发者自定义的payload的大小有关，如果存储的东西越多自然执行的效率也会越低(建议存储少量信息)；

不过上面问题也不大，撤销令牌可以采取黑名单方式，至于第2点其实问题可以与前端约定好流程即可；

推荐阅读

jar
如何利用JMeter高效执行API接口测试，掌握JMeter接口测试的详细步骤与技巧

本文将详细介绍如何利用JMeter高效执行API接口测试，涵盖JMeter的基础介绍、安装方法、中文环境配置、主要元件及其作用域和执行顺序等内容，并分享一系列实用的测试技巧，帮助读者全面掌握JMeter接口测试的全过程。 ... [详细]

蜡笔小新 2024-10-25 19:22:07
get
Cookie学习小结

Cookie学习小结 ... [详细]

蜡笔小新 2024-11-14 16:26:25
get
深入解析Django CBV模型的源码运行机制

本文详细探讨了Django CBV（Class-Based Views）模型的源码运行流程，通过具体的示例代码和详细的解释，帮助读者更好地理解和应用这一强大的功能。 ... [详细]

蜡笔小新 2024-11-14 12:36:32
get
Axublog 1.1.0 版本 c_login.php 文件中发现 SQL 注入安全漏洞

在 Axublog 1.1.0 版本的 `c_login.php` 文件中发现了一个严重的 SQL 注入漏洞。该漏洞允许攻击者通过操纵登录请求中的参数，注入恶意 SQL 代码，从而可能获取敏感信息或对数据库进行未授权操作。建议用户尽快更新到最新版本并采取相应的安全措施以防止潜在的风险。 ... [详细]

蜡笔小新 2024-11-09 13:37:09
input
MIT 6.824 实验笔记：MapReduce 开发指南

本文详细记录了 MIT 6.824 课程中 MapReduce 实验的开发过程，包括环境搭建、实验步骤和具体实现方法。 ... [详细]

蜡笔小新 2024-11-18 12:05:23
format
【转】强大的矩阵奇异值分解(SVD)及其应用

在工程实践中，经常要对大矩阵进行计算，除了使用分布式处理方法以外，就是通过理论方法，对矩阵降维。一下文章，我在 ... [详细]

蜡笔小新 2024-11-16 12:44:31
format
MongoDB核心概念详解

本文介绍了NoSQL数据库的概念及其应用场景，重点解析了MongoDB的基本特性、数据结构以及常用操作。MongoDB是一个高性能、高可用且易于扩展的文档数据库系统。 ... [详细]

蜡笔小新 2024-11-15 10:24:19
python
Python 数据可视化实战指南

本文详细介绍如何使用 Python 进行数据可视化，涵盖从环境搭建到具体实例的全过程。 ... [详细]

蜡笔小新 2024-11-13 06:03:30
io
网站访问全流程解析

本文详细介绍了从用户在浏览器中输入一个域名（如www.yy.com）到页面完全展示的整个过程，包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]

蜡笔小新 2024-11-12 18:13:16
io
实现动态网络Cookies全网互通，登录与注销功能覆盖全网

通过优化动态网络Cookies的全网互通机制，实现了用户在任意子站点的登录和注销操作均能同步至整个网络。具体实现涉及对三个关键文件的修改：首先，在`incDv_ClsMain.asp`中定位并调整`Response.Cookies`的相关设置；其次，更新`global.asa`以确保会话状态的一致性；最后，修改`login.asp`以支持跨域认证。这一改进不仅提升了用户体验，还增强了系统的安全性和可靠性。 ... [详细]

蜡笔小新 2024-11-10 11:18:54
input
HTML5 Web存储技术详解：从基础到应用全面解析

HTML5 Web存储技术是许多开发者青睐本地应用程序的重要原因之一，因为它能够实现在客户端本地存储数据。HTML5通过引入Web Storage API，使得Web应用程序能够在浏览器中高效地存储数据，从而提升了应用的性能和用户体验。相较于传统的Cookie机制，Web Storage不仅提供了更大的存储容量，还简化了数据管理和访问的方式。本文将从基础概念、关键技术到实际应用，全面解析HTML5 Web存储技术，帮助读者深入了解其工作原理和应用场景。 ... [详细]

蜡笔小新 2024-10-26 20:33:04
get
深入浅出解析HTTP协议的核心功能与应用

前言——协议是指预先设定的通信规则，确保双方能够按照既定标准进行有效沟通，从而实现准确的信息交换。例如，驯兽师通过拍手使动物坐下，这实际上是一种预设的协议。本文将详细探讨HTTP协议的核心功能及其广泛应用，解析其在现代网络通信中的重要作用。 ... [详细]

蜡笔小新 2024-10-26 18:47:54
get
Sia (Siacoin/SC/云储币) 去中心化存储平台资源汇总

本文整理了关于Sia去中心化存储平台的重要网址和资源，旨在为研究者和用户提供全面的信息支持。 ... [详细]

蜡笔小新 2024-11-15 13:29:59
copy
基于iSCSI的SQL Server 2012群集测试(一)SQL群集安装

一、测试需求介绍与准备公司计划服务器迁移过程计划同时上线SQLServer2012，引入SQLServer2012群集提高高可用性，需要对SQLServ ... [详细]

蜡笔小新 2024-11-13 15:49:49
input
DVWA学习笔记系列：深入理解CSRF攻击机制

DVWA学习笔记系列：深入理解CSRF攻击机制 ... [详细]

蜡笔小新 2024-11-11 13:19:51

鱼鱼de眼泪2012

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章