最近,團隊的小夥伴們在做專案時,需要用到JWT認證。遂根據自己的經驗,整理成了這篇文章,用來幫助理清JWT認證的原理和程式碼編寫操作。
(接上文)
- 測試執行
% dotnet run
等程式執行起來後,在瀏覽器輸入:http://localhost:5000/swagger/,會進到Swagger的API介面。選擇requestToken,點選按鈕”Try it out“->”Execute“,可以看到執行結果:
["eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoic3RyaW5nIiwiZXhwIjoxNTg5MzgxMzQ4LCJpc3MiOiJXYW5nUGx1cyJ9.ojGuWUk9i2Vp5qu3s2UZSLC64Sm95Cao2eGF3GDVvec","123456"]
好吧,不要在意這個返回的格式。返回的兩個串中,第一個就是Token,第二個是refreshToken。
到這兒,我們成功拿到了使用者的Token。
為防止非授權轉發,這兒給出本文的原文連結:https://www.cnblogs.com/tiger-wang/p/12894021.html
四、Token認證
拿到Token後,我們就可以進行認證操作了。
既然是認證,那應該在每個API上進行。所以,認證的過程不會放到控制器裡,而應該以MiddleWare的方式,放到主流程中。
這個MiddleWare,Microsoft.AspNetCore.Authentication.JwtBearer庫已經幫我們做好了。我們只需要配置就好。
- 在Startup.cs中,ConfigureServices方法裡,新增以下內容
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(option =>
{
option.RequireHttpsMetadata = false;
option.SaveToken = true;
var token = Configuration.GetSection("tokenParameter").Get<tokenParameter>();
option.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(token.Secret)),
ValidIssuer = token.Issuer,
ValidateIssuer = true,
ValidateAudience = false,
};
});
這裡面,有幾個引數需要注意:
RequireHttpsMetadata: 限定認證操作是否必須通過https來做,這個要跟隨專案在生產環境中的執行情況來定。如果WebServer是我前文15分鐘從零開始搭建支援10w+使用者的生產環境(三)中介紹的Jexus,採用對外https,對內http的方式,那這兒可以設為false。
SaveToken: 決定Token在認證完成後,是否需要儲存到上下文裡並向後傳。這個設定也要看應用。我們Token生成後,使用者的相關資訊已經包含在裡面了。API裡如果有涉及使用者的操作,按理可以不用往API裡傳相關使用者的引數。一方面不安全,另一方面程式碼也不好看。這時就可以把這個引數設為True,然後API從上下文中直接取使用者資訊。
- 在Startup.cs裡,Configure方法中,開啟認證
app.UseAuthentication();
app.UseAuthorization();
這兩步完成,我們就完成的認證的開發工具。
用別人的輪子還是很爽的,雖然輪子的挑選工作很複雜很費力。
- 設定API認證。
在這個Demo裡,我們選程式碼生成時給的WeatherForecastController下的Get方法來測試。
在方法前邊,我們加上Authorize:
[HttpGet]
[Authorize]
public IEnumerable<WeatherForecast> Get()
...
- 測試執行。
啟動程式,跟上一章的方式一樣。
程式執行後,開啟:http://localhost:5000/swagger/,進入WeatherForecast,點”Try it out“->”Execute“,我們會得到一個401 - Error: Unauthorized的返回,因為我們沒有做認證。
下面測試做認證後的訪問。
先去requestToken拿一個Token(refreshToken這章不用),在前邊加“Bearer ”,拼成一個串
Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoic3RyaW5nIiwiZXhwIjoxNTg5MzgxMzQ4LCJpc3MiOiJXYW5nUGx1cyJ9.ojGuWUk9i2Vp5qu3s2UZSLC64Sm95Cao2eGF3GDVvec
要注意,Bearer後邊要跟一個空格。這個串的格式是:Bearer + 空格 + Token。
在頁面的右上角,有一個“Authorize”,點進去,在Value輸入框中貼上上面拼好的串,然後點按鈕“Authorize”,儲存認證資訊。
下面進入WeatherForecast,點”Try it out“->”Execute“,這時候,我們就能拿到正確的返回資料。
五、擴充套件:使用者角色認證
在上一章中,我們實現了使用者的認證。但這個認證有個不漂亮的地方:使用者只簡單的被認證系統分成了通過認證的和不通過認證的。
在實際專案中,我們有時候會有這樣的需求:對於某個API,我們希望只允許具有某種角色許可權的使用者去訪問。
下面,我們對這個專案進行小量的修改,以完成這個需求。
- 在給使用者簽發Token的過程中,加入使用者的角色資料。
在AuthenticationController的RequestToken中,我們構建了一個使用者的Claims:
var claims = new[]
{
new Claim(ClaimTypes.Name,request.username),
};
就是這兒。我們在這兒加入使用者的角色:
var claims = new[]
{
new Claim(ClaimTypes.Name,request.username),
new Claim(ClaimTypes.Role, "testUser"),
};
實際應用中,這個角色的名稱,可以根據需要,從使用者系統中拿來。
在這個Demo裡,就直接寫成個字串了。就是說,有一個角色,叫testUser。
- 給API增加認證的角色要求
[HttpGet]
[Authorize(Roles="testUser")]
public IEnumerable<WeatherForecast> Get()
...
在這裡,這個Roles="testUser"裡的testUser,就是這個方法授權所對應的角色名稱。
- 測試執行
按正常的步驟,取Token,拼串,儲存認證資訊,然後去執行WeatherForecast,API能正常返回。
我們可以把程式碼中的testUser改成別的字串進行測試,會返回403 - Error: Forbidden錯誤。
增加角色認證成功。
六、重新整理Token
Token過期後,就需要重新整理。
當然我們可以把Token設成永遠不過期,但這不是個安全的做法。還可以在Token過期後重新請求一個新Token,但這樣做會顯得Low。
賞心悅目的做法是:用refreshToken來重新整理Token。設定refreshToken的過期時間長於Token。Token過期後,讓使用者提交Token和refreshToken到伺服器,伺服器驗證Token是否合法,並從中提取使用者資訊,根據使用者資訊和refreshToken核驗是否匹配。如果匹配,就重新生成Token給使用者。
至於refreshToken的過期時長,和是否需要在重新整理Token時也重新整理refreshToken,就看心情了,沒有固定的做法。我自己的專案中,Token是2小時過期,refreshToken是24小時過期。在Token重新整理時,如果refreshToken的過期時間少於6小時,則重新整理refreshToken。供參考。
下面,按這個方式,做一下重新整理Token。
- 在DTOModels下建一個RefreshTokenDTO,用作API的輸入引數
using System;
namespace demo.DTOModels
{
public class RefreshTokenDTO
{
public string Token { get; set; }
public string refreshToken { get; set; }
}
- 在AuthenticationController裡,建立一個RefreshToken的API,並補齊驗證程式碼
[HttpPost, Route("refreshToken")]
public ActionResult RefreshToken([FromBody]RefreshTokenDTO request)
{
if(request.Token == null && request.refreshToken == null)
return BadRequest("Invalid Request");
//這兒是驗證Token的程式碼
var handler = new JwtSecurityTokenHandler();
try
{
ClaimsPrincipal claim = handler.ValidateToken(request.Token, new TokenValidationParameters{
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(_tokenParameter.Secret)),
ValidateIssuer = false,
ValidateAudience = false,
ValidateLifetime = false,
}, out SecurityToken securityToken);
var username = claim.Identity.Name;
//這兒是生成Token的程式碼
var token = GenUserToken(username, "testUser");
var refreshToken = "654321";
return Ok(new[] { token, refreshToken });
}
catch(Exception)
{
return BadRequest("Invalid Request");
}
}
這樣,Token重新整理就完成了。可以用生成Token執行測試,能正常認證通過。
- 單獨說一下refreshToken
refreshToken,名義上是為了重新整理Token,實際上用處主要是給使用者重新登入做計時。refreshToken過期了,使用者就必須重新登入。就是這麼個作用。要不然,Token自己重新整理豈不更好?
refreshToken可以採用跟Token一樣的生成方式。但是,我們也看到,Token生成出來的串就很長,如果refreshToken也那樣生成,那就也會是一個很長的串。這樣會加大前端到API的傳輸量。因此,這不算是一個好主意。
一般來說,refreshToken會換一種生成方式。唯一序列、Hash,都是可以選擇的,可以減少很多傳輸。
至於持久化和過期,依託資料庫就好了。
七、彩蛋
最後,送大家一個彩蛋。
在生成Token時,我們把過期時間設定成少於五分鐘的時長,比方3分鐘。但這時,實測會發現,Token的過期失效了。
為什麼呢?
TokenValidationParameters有一個屬性叫ClockSkew,這個引數有個預設值是TimeSpan.FromMinutes(5)。
這個引數的意義是:考慮到各個伺服器之間的時間不一定完全同步,系統給了個5分鐘的誤差時間。
這個誤差時間導致的結果是:少於五分鐘的過期時間,會在實際認證檢查時被忽略。
這個情況,Microsoft上有N多人在討論,可以自己去查。
所以,當Token的過期小於5分鐘時,想要讓認證對這個時間生效,可以把這個值設為TimeSpan.Zero。
option.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(token.Secret)),
ValidIssuer = token.Issuer,
ValidateIssuer = true,
ValidateAudience = false,
ClockSkew = TimeSpan.Zero, //就是這一行
};
我把上面的程式碼,傳到了Github上,需要了可以拉下來直接測試。
程式碼地址:https://github.com/humornif/Demo-Code/tree/master/0007/demo
(全文完)
 |
微信公眾號:老王Plus 掃描二維碼,關注個人公眾號,可以第一時間得到最新的個人文章和內容推送 本文版權歸作者所有,轉載請保留此宣告和原文連結 |