本文主要分为两个部分:

1、概念

2、.net 8 demo

第一部分主要描述所有与 JWT 相关的概念以及词汇,及其原理;第二部分是代码示例,文末附 源码下载。

* 阅读提示 :鼠标悬停在 章节标题 上可见 文章目录

1、概念

JWT

json web token 是一种开放标准(RFC 7519),是指定一种数据格式(json) 和数据结构 (header, payload, signature) ,

用于网络应用间信息传输,一般是用于客户端与服务器之间的安全校验

authentication

鉴权;可以为用户创建 token,可以校验 token 有效性

authorization

批准 / 授权;是一种配置,约束访问条件,例如:

[Authorize(Roles = "Admin")] // 管理员才可访问

[Authorize(Policy = "EmployeeWithDepartment")] // 符合特定策略才可访问

bearer

持票人,使用场景在于请求时,header 的格式

例如请求头部的参数 "Authorization" : "Bearer tokenString"

一个 token 由 3 个部分组成,并且以实心句号 . 分割,以下为一个 token 示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoidXNlcjEyMyIsIm5iZiI6MTczMTM5MzYzNiwiZXhwIjoxNzMxMzk3MjM2LCJpYXQiOjE3MzEzOTM2MzYsImlzcyI6InlvdXJkb21haW4uY29tIiwiYXVkIjoieW91ci1hcGktYXVkaWVuY2UifQ.q2zUeZ3RAVIxg5CVNI2Pjq9Nfvue3_tCQagDRJmStYI

token part

decode (by base64)

remark

header

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

{ "alg" : "HS256", "typ" : "JWT" }

token metadata

说明用于加密的算法类型

payload

(有效载荷)
eyJuYW1lIjoidXNlcjEyMyIsIm5iZiI6MTczMTM5MzYzNiwiZXhwIjoxNzMxMzk3MjM2LCJpYXQiOjE3MzEzOTM2MzYsImlzcyI6InlvdXJkb21haW4uY29tIiwiYXVkIjoieW91ci1hcGktYXVkaWVuY2UifQ

{

"name": "user123",

"nbf": 1731393636,

"exp": 1731397236,

"iat": 1731393636,

"iss": "yourdomain.com",

"aud": "your-api-audience"

}

自定义的用户信息(claims),

以及一些必要信息:

nbf : not before, token 生效时间

exp : expiration time, token 过期时间

iat : issued at 签发时间

iss : issuer of the token 签发者(比如服务端名字)

aud : audience,该 token 的受众,可以是服务名称 或者 api 名称等等

signature

q2zUeZ3RAVIxg5CVNI2Pjq9Nfvue3_tCQagDRJmStYI

N/A

signature:是根据 header 中指定的算法以及在服务端密钥,对 payload 加密得到的哈希值;

用于服务端校验 token 是否签发自服务端。

(请求时 token 的 payload 与解密 signature 后得到的payload 需要一致,所以擅改 payload 会导致token 无效)

* base64 transfer online : Base64编码_base64在线解码_base64加密在线转换

什么是无状态化?

无状态 (stateless) :指服务端不需要存储任何关于用户会话的信息。

一般地,在旧时的实现方式中,服务端可能需要存储用户登录的记录,例如需要存储对应用户会话的有效时间。

而 JWT 标准中 signature 的设计允许了服务端可以不对登录信息做持久化,服务端可以通过算法验证 signature 的有效性,以此确保了 token 的安全性,所以并不需要另外存储用户会话状态,这样就减少服务端压力和复杂性,做到“无状态”化。

但其实现今的应用需求中,很多时候都希望追踪到用户行为,所以还是会 log 用户操作,为日后的用户行为分析做数据奠基;当然,这是另一个话题。

2、.net 8 demo

2.1 Authentication

包引用

using Microsoft.IdentityModel.Tokens;

using System.IdentityModel.Tokens.Jwt;

using System.Security.Claims;

创建 token 的方法

 1 public string GenerateJwtToken(string userName)

 2 {

 3

 4     var tokenHander = new JwtSecurityTokenHandler();

 5     var key = Encoding.ASCII.GetBytes("your secret key");

 6     var tokenDescriptor = new SecurityTokenDescriptor

 7     {

 8         // configure the custome information in the Claim instance

 9         Subject = new System.Security.Claims.ClaimsIdentity(new[] { new Claim("name", userName) }),

10

11         // configure the expiration time

12         Expires = DateTime.UtcNow.AddHours(1),

13

14         // issuer could be your service name or other, and it will be the [iss] of the token

15         Issuer = "xx Servicing",

16

17         // audience could be the audience of your service, and it will be the [aud] of the token

18         Audience = "your api audience",

19

20         // configure secret algorithm and secret key for signature part

21         SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)

22

23     };

24

25     var token = tokenHander.CreateToken(tokenDescriptor);

26     return tokenHander.WriteToken(token);

27 }

验证 token 的配置

 1 builder.Services.AddAuthentication(options =>

 2 {

 3     options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;

 4     options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;

 5 })

 6 .AddJwtBearer(options =>

 7 {

 8     options.TokenValidationParameters = new TokenValidationParameters

 9     {

10         // validate the token expiration

11         ValidateLifetime = true,

12

13         // validate signature

14         ValidateIssuerSigningKey = true,

15

16         // need to sure the issuer/audience value here is same with the issuer/audience while token generating

17         ValidateIssuer = true,

18         ValidateAudience = true,

19         ValidIssuer = "yourdomain.com",

20         ValidAudience = "your-api-audience",

21

22         //ValidateIssuer = false, // Skip issuer validation

23         //ValidateAudience = false, // Skip audience validation

24

25         IssuerSigningKey = new SymmetricSecurityKey("your secret key"),

26         ClockSkew = TimeSpan.FromMinutes(5) // Allow for clock skew

27

28     };

29

30 });

开启 authentication 和 authorization

1 app.UseAuthentication();

2 app.UseAuthorization();

!注意:

1、此处的 Authentication,Authorization 都是 Miscroft.AspNetCore 自带的中间件。

2、Authentication 是鉴权,Authorization 是授权 / 批准,这两个中间件的位置不能错,必须是:鉴权在前。

Authentication 中间件主要负责验证 token ,比如检查签名是否正确,检查 token 有效期。

当 Authentication 中间件成功验证令牌后,它会将 token 中的用户信息(像是用户ID、角色等)写入到 httpContext,再传递给 Authorization 中间件。此时,Authorization 会拿到有效的 httpContext.User 属性,这是一个 ClaimsPrincipal 对象,包含了用户信息声明(claims);

若绕开了 Authentication 中间件,httpContext 直接到 Authorization ,此时会找不到合法的 httpContext.User,所以返回 401 Unauthorized 错误。

源码下载

1、.net 8 AuthDemo Web Api Project

2、AuthDemo.postman_collection.json

2.2 Authorization

2.2.1 Authorize

1     // 标注 Authorize 后访问该api时会验证token

2     [Authorize]

3     [HttpGet("GetList")]

4     public IEnumerable<WeatherForecast> GetList()

5     {

6         ..

7     }

2.2.2 Policy 策略

 1     // 在 Startup.cs 中配置策略

 2     services.AddAuthorization(options =>

 3     {

 4         options.AddPolicy("Over18", policy =>

 5             policy.RequireClaim("Age", "18"));  // 验证 token 中的 age 参数是否等于 18

 6     });

 7

 8     // 在 Controller 中使用策略

 9     [Authorize(Policy = "Over18")]

10     public IActionResult RestrictedContent()

11     {

12        ..

13     }
 1     // 验证 token 中的 role 参数是否 ("Admin", "Manager")中的成员,注:大小写敏感

 2     services.AddAuthorization(options =>

 3     {

 4         options.AddPolicy("AdminOrManager", policy =>

 5             policy.RequireRole("Admin", "Manager"));

 6     });

 7

 8     // 多个“并且”条件的声明

 9     services.AddAuthorization(options =>

10     {

11

12         options.AddPolicy("EmployeeWithDepartment", policy =>

13             policy.RequireClaim("EmployeeNumber")

14                   .RequireClaim("Department", "HR", "IT"));

15     });

2.2.3 AllowAnonymous

[Authorize] 可以修饰在 controller 上,这意味着该 controller 下的所有 api 都需要验证token,

此时可以通过修饰 [AllowAnonymous] 特别指定某一个 api 不需要 token 验证。

 1 [Authorize]

 2 public class AccountController : Controller

 3 {

 4     [AllowAnonymous]

 5     public IActionResult Login()

 6     {

 7         ..

 8     }

 9

10     public IActionResult Logout()

11     {

12         ..

13     }

14 }

博客园的编辑器也太难用了吧!!

2024-11-13

.net 8 实现 JWT 无状态设计 token [附源码]的更多相关文章

  1. WPF一步步实现完全无边框自定义Window(附源码)

    在我们设计一个软件的时候,有很多时候我们需要按照美工的设计来重新设计整个版面,这当然包括主窗体,因为WPF为我们提供了强大的模板的特性,这就为我们自定义各种空间提供了可能性,这篇博客主要用来介绍如何自 ...

  2. JAVA课程设计(附源码)

    Java课程设计选题 Java课程设计说明 本次课程设计的目的是通过课程设计的各个项目的综合训练,培养学生实际分析问题.编程和动手能力,提高学生的综合素质.本课程设计尝试使用一些较生动的设计项目,激发 ...

  3. 分享基于Entity Framework的Repository模式设计(附源码)

    关于Repository模式,在这篇文章中有介绍,Entity Framework返回IEnumerable还是IQueryable? 这篇文章介绍的是使用Entity Framework实现的Rep ...

  4. python实现抖音多线程下载无水印视频【附源码】

    昨天发了一个无水印解析,评论说想要多线程下载,还是比较简单的. py文件同目录下创建url.txt,把链接一行一行复制进去,就能批量下载. 代码中的延时不能去掉,由于是多线程,速度较快,延时很重要. ...

  5. 【转】.NET(C#):浅谈程序集清单资源和RESX资源 关于单元测试的思考--Asp.Net Core单元测试最佳实践 封装自己的dapper lambda扩展-设计篇 编写自己的dapper lambda扩展-使用篇 正确理解CAP定理 Quartz.NET的使用(附源码) 整理自己的.net工具库 GC的前世与今生 Visual Studio Package 插件开发之自动生

    [转].NET(C#):浅谈程序集清单资源和RESX资源   目录 程序集清单资源 RESX资源文件 使用ResourceReader和ResourceSet解析二进制资源文件 使用ResourceM ...

  6. 【转载】深度解读 java 线程池设计思想及源码实现

    总览 开篇来一些废话.下图是 java 线程池几个相关类的继承结构: 先简单说说这个继承结构,Executor 位于最顶层,也是最简单的,就一个 execute(Runnable runnable) ...

  7. Java并发指南12:深度解读 java 线程池设计思想及源码实现

    ​深度解读 java 线程池设计思想及源码实现 转自 https://javadoop.com/2017/09/05/java-thread-pool/hmsr=toutiao.io&utm_ ...

  8. Django-jwt token生成源码分析

    一. 认证的发展历程简介 这里真的很简单的提一下认证的发展历程.以前大都是采用cookie.session的形式来进行客户端的认证,带来的结果就是在数据库上大量存储session导致数据库压力增大,大 ...

  9. Java开源生鲜电商平台-支付模块的设计与架构(源码可下载)

    Java开源生鲜电商平台-支付模块的设计与架构(源码可下载) 开源生鲜电商平台支付目前支持支付宝与微信.针对的是APP端(android or IOS)   1. 数据库表设计. 说明:无论是支付宝还 ...

  10. Java开源生鲜电商平台-推荐系统模块的设计与架构(源码可下载)

    Java开源生鲜电商平台-推荐系统模块的设计与架构(源码可下载) 业务需求: 对于一个B2B的生鲜电商平台,对于买家而言,他需要更加快速的购买到自己的产品,跟自己的餐饮店不相关的东西,他是不关心的,而 ...

随机推荐

  1. HttpClientFacotry Part 4: 集成 Polly 处理瞬时失效

    HttpClientFacotry Part 4: 集成 Polly 处理瞬时失效 原文地址:https://www.stevejgordon.co.uk/httpclientfactory-usin ...

  2. 使用 Docker Compose 安装 MongoDB

    最近学习 Docker ,试着在 Docker 里安装 MongoDB,按照镜像 mongo 文档一顿操作猛如虎. 快速开始 写个 docker-compose.yml 文件: version: '3 ...

  3. 龙哥量化:通达信的函数ma均线,ema、sma、dma的计算原理是什么,XMA是未来函数

    注意均线也有未来函数,常见的是跨周期的用法,会导致信号闪烁, 不常见的是XMA这个未来函数太坑了, [代写公式,龙哥微信:Long622889] MA.EMA.SMA.DMA.TMA.WMA6种平均算 ...

  4. 揭秘百度IM消息中台的全量用户消息推送技术改造实践

    本文内容由百度技术团队分享,原题"基于公共信箱的全量消息实现",为了帮助理解,有较多修订.内容重组和重新排版. 1.引言 百度的IM消息中台为百度APP以及厂内百度系产品提供即时通 ...

  5. 在已有的项目中使用vuiew ui库

    官方提供了三种方式,但是我觉得在已有的项目中使用是比较常见的 我在刚开始使用的时候不知道如何使用,我希望这个对大家有点帮助,特此来记录下! 我用的是创建了一个uview插件的项目,然后把里面uview ...

  6. AI 与 Mermaid 使用教程之流程图 - 从入门到精通

    本文由 Mermaid中文文档 整理而来,并且它同时提供了一个 Mermaid在线编辑器,支持在线编辑与生成流程图. 在文章的末尾我们将介绍如何使用AI来自动生成 Mermaid 流程图. Merma ...

  7. CDS标准视图:维护包数据 I_MaintenancePackageData

    视图名称:维护包数据 I_MaintenancePackageData 视图类型:基础 视图代码: 点击查看代码 @AbapCatalog.sqlViewName: 'IMAINTPCKGDATA' ...

  8. 学Shiro完结版-4

    第十四章 SSL--<跟我学Shiro> 对于SSL的支持,Shiro只是判断当前url是否需要SSL登录,如果需要自动重定向到https进行访问. 首先生成数字证书,生成证书到D:\lo ...

  9. Robot Framework 自动化测试部署常见问题及处理方法(二)

    书接上文 4.使用Open Browser关键字打开浏览器报错"WebDriverException: Message: 'geckodriver' executable needs to ...

  10. docker没有vi不能执行yum报Device or resource busy

    最近在使用docker的过程中发现一个问题,就是想用vim编辑器编辑一个文件,发现连vi都没有. 于是想到一个办法用docker cp来解决问题: 首先执行docker ps -a查看容器的id 然后 ...