前言

上一篇已经介绍了identity的注册,登录,获取jwt token,本篇来完成refresh token。

开始

开始之前先说明一下为什么需要refresh token。

虽然jwt token有很多优点,但是它的缺点也是非常明显。由于jwt无状态的特性,所以jwt一旦颁发,基本上就不可控了,在过期时间内一直有效。有些场景下我们是希望能控制token失效的,比如用户的重要数据被修改时(密码,角色,权限,等等),我们希望用户重新获取token,甚至重新登录。

那么refresh token就可以很好的弥补jwt的缺陷。虽然refresh token也无法直接控制jwt失效,但是在refresh token机制下,我们可以把token的有效期设置的短一些,比如30分钟,而refresh token的有效期可以很长;因为refresh token会持久化到数据库中,它是完全可控的。

很多人纠结的jwt滑动刷新,无感刷新,在refresh token机制下,都不是问题。

生成refresh_token

改造一下上一篇的代码,首先refresh token需要持久化到数据库中,定义实体:

public class RefreshToken

{

    [Key]

    public int Id { get; set; }

    [Required]

    [StringLength(128)]

    public string JwtId { get; set; }

    [Required]

    [StringLength(256)]

    public string Token { get; set; }

    /// <summary>

    /// 是否使用,一个RefreshToken只能使用一次

    /// </summary>

    [Required]

    public bool Used { get; set; }

    /// <summary>

    /// 是否失效。修改用户重要信息时可将此字段更新为true,使用户重新登录

    /// </summary>

    [Required]

    public bool Invalidated { get; set; }

    [Required]

    public DateTime CreationTime { get; set; }

    [Required]

    public DateTime ExpiryTime { get; set; }

    [Required]

    public int UserId { get; set; }

    [Required]

    [ForeignKey(nameof(UserId))]

    public AppUser User { get; set; }

}

加入到DbContext:

public class AppDbContext : IdentityDbContext<AppUser, IdentityRole<int>, int>

{

    public DbSet<RefreshToken> RefreshTokens { get; set; }

    public AppDbContext(DbContextOptions<AppDbContext> options)

        : base(options)

    {

    }

    // 省略......

}

ef迁移:

dotnet ef migrations add AppDbContext_Added_RefreshToken

dotnet ef database update

登录注册返回token时,也要把RefreshToken和ExpiresIn有效时间一起返回:

public class TokenResult

{

    public bool Success => Errors == null || !Errors.Any();

    public IEnumerable<string> Errors { get; set; }

    public string AccessToken { get; set; }

    public string TokenType { get; set; }

    public int ExpiresIn { get; set; }   // add

    public string RefreshToken { get; set; }  // add

}


public class TokenResponse

{

    [JsonPropertyName("access_token")]

    public string AccessToken { get; set; }

    [JsonPropertyName("token_type")]

    public string TokenType { get; set; }

    [JsonPropertyName("expires_in")]

    public int ExpiresIn { get; set; }  // add

    [JsonPropertyName("refresh_token")]

    public string RefreshToken { get; set; } // add

}

修改UserService创建token方法:

private async Task<TokenResult> GenerateJwtToken(AppUser user)

{

    var key = Encoding.ASCII.GetBytes(_jwtSettings.SecurityKey);

    var tokenDescriptor = new SecurityTokenDescriptor

    {

        Subject = new ClaimsIdentity(new[]

        {

            new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString("N")),

            new Claim(JwtRegisteredClaimNames.Sub, user.Id.ToString())

        }),

        IssuedAt = DateTime.UtcNow,

        NotBefore = DateTime.UtcNow,

        Expires = DateTime.UtcNow.Add(_jwtSettings.ExpiresIn),

        SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key),

            SecurityAlgorithms.HmacSha256Signature)

    };

    var jwtTokenHandler = new JwtSecurityTokenHandler();

    var securityToken = jwtTokenHandler.CreateToken(tokenDescriptor);

    var token = jwtTokenHandler.WriteToken(securityToken);

    var refreshToken = new RefreshToken()

    {

        JwtId = securityToken.Id,

        UserId = user.Id,

        CreationTime = DateTime.UtcNow,

        ExpiryTime = DateTime.UtcNow.AddMonths(6),

        Token = GenerateRandomNumber()

    };

    await _appDbContext.RefreshTokens.AddAsync(refreshToken);

    await _appDbContext.SaveChangesAsync();

    return new TokenResult()

    {

        AccessToken = token,

        TokenType = "Bearer",

        RefreshToken = refreshToken.Token,

        ExpiresIn = (int)_jwtSettings.ExpiresIn.TotalSeconds,

    };

}


private string GenerateRandomNumber(int len = 32)

{

    var randomNumber = new byte[len];

    using var rng = RandomNumberGenerator.Create();

    rng.GetBytes(randomNumber);

    return Convert.ToBase64String(randomNumber);

}

登录测试,已经返回了refresh_token:

使用refresh_token获取token

// RefreshToken 请求参数

public class RefreshTokenRequest

{

    [JsonPropertyName("access_token")]

    public string AccessToken { get; set; }

    [JsonPropertyName("refresh_token")]

    public string RefreshToken { get; set; }

}


public interface IUserService

{

    // 省略......

    Task<TokenResult> RefreshTokenAsync(string token, string refreshToken); // add

}

RefreshTokenAsync实现:

public async Task<TokenResult> RefreshTokenAsync(string token, string refreshToken)

{

    var claimsPrincipal = GetClaimsPrincipalByToken(token);

    if (claimsPrincipal == null)

    {

        // 无效的token...

        return new TokenResult()

        {

            Errors = new[] { "1: Invalid request!" },

        };

    }

    var expiryDateUnix =

        long.Parse(claimsPrincipal.Claims.Single(x => x.Type == JwtRegisteredClaimNames.Exp).Value);

    var expiryDateTimeUtc = UnixTimeStampToDateTime(expiryDateUnix);

    if (expiryDateTimeUtc > DateTime.UtcNow)

    {

        // token未过期...

        return new TokenResult()

        {

            Errors = new[] { "2: Invalid request!" },

        };

    }

    var jti = claimsPrincipal.Claims.Single(x => x.Type == JwtRegisteredClaimNames.Jti).Value;

    var storedRefreshToken =

        await _appDbContext.RefreshTokens.SingleOrDefaultAsync(x => x.Token == refreshToken);

    if (storedRefreshToken == null)

    {

        // 无效的refresh_token...

        return new TokenResult()

        {

            Errors = new[] { "3: Invalid request!" },

        };

    }

    if (storedRefreshToken.ExpiryTime < DateTime.UtcNow)

    {

        // refresh_token已过期...

        return new TokenResult()

        {

            Errors = new[] { "4: Invalid request!" },

        };

    }

    if (storedRefreshToken.Invalidated)

    {

        // refresh_token已失效...

        return new TokenResult()

        {

            Errors = new[] { "5: Invalid request!" },

        };

    }

    if (storedRefreshToken.Used)

    {

        // refresh_token已使用...

        return new TokenResult()

        {

            Errors = new[] { "6: Invalid request!" },

        };

    }

    if (storedRefreshToken.JwtId != jti)

    {

        // refresh_token与此token不匹配...

        return new TokenResult()

        {

            Errors = new[] { "7: Invalid request!" },

        };

    }

    storedRefreshToken.Used = true;

    //_userDbContext.RefreshTokens.Update(storedRefreshToken);

    await _appDbContext.SaveChangesAsync();

    var dbUser = await _userManager.FindByIdAsync(storedRefreshToken.UserId.ToString());

    return await GenerateJwtToken(dbUser);

}

解析token,注意这里的tokenValidationParameters,这个参数和Startup中设置的tokenValidationParameters唯一的区别是ValidateLifetime = false,不验证过期时间。

private ClaimsPrincipal GetClaimsPrincipalByToken(string token)

{

    try

    {

        var tokenValidationParameters = new TokenValidationParameters

        {

            ValidateIssuer = false,

            ValidateAudience = false,

            ValidateIssuerSigningKey = true,

            IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(_jwtSettings.SecurityKey)),

            ClockSkew = TimeSpan.Zero,

            ValidateLifetime = false // 不验证过期时间!!!

        };

        var jwtTokenHandler = new JwtSecurityTokenHandler();

        var claimsPrincipal =

            jwtTokenHandler.ValidateToken(token, tokenValidationParameters, out var validatedToken);

        var validatedSecurityAlgorithm = validatedToken is JwtSecurityToken jwtSecurityToken

                                         && jwtSecurityToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256,

                                             StringComparison.InvariantCultureIgnoreCase);

        return validatedSecurityAlgorithm ? claimsPrincipal : null;

    }

    catch

    {

        return null;

    }

}

最后是UserController:

[HttpPost("RefreshToken")]

public async Task<IActionResult> RefreshToken(RefreshTokenRequest request)

{

    var result = await _userService.RefreshTokenAsync(request.AccessToken, request.RefreshToken);

    if (!result.Success)

    {

        return Unauthorized(new FailedResponse()

        {

            Errors = result.Errors

        });

    }

    return Ok(new TokenResponse

    {

        AccessToken = result.AccessToken,

        TokenType = result.TokenType,

        ExpiresIn = result.ExpiresIn,

        RefreshToken = result.RefreshToken

    });

}

测试token未过期时刷新token:

正常刷新token:

refresh_token使用一次后,不可以再次使用:

其他情况可以自行测试。。。

最后

总结一下,上面的代码看似很多,其实完成的功能非常简单;就是在用户获取token时,后台生成一个与之对应的refresh token一并返回,同时将refresh token保存到数据库中;refresh token的存在就是为了当token过期时,能免登录刷新一次token。(refresh token只能使用一次,用户重要数据比如密码修改时,可以将refresh token置为失效,使用户重新登录)。代码已上传至 [blogs/asp.net core identity + jwt/code at main · xiajingren/blogs (github.com)](https://github.com/xiajingren/blogs/tree/main/asp.net core identity %2B jwt/code)

参考:

ASP.NET Core 简介 Identity | Microsoft Docs

Mohamad Lawand - DEV Community

asp.net core使用identity+jwt保护你的webapi(三)——refresh token的更多相关文章

  1. asp.net core使用identity+jwt保护你的webapi(一)——identity基础配置

    前言 用户模块几乎是每个系统必备的基础功能,如果每次开发一个新项目时都要做个用户模块,确实非常无聊.好在asp.net core给我们提供了Identity,使用起来也是比较方便,如果对用户这块需求不 ...

  2. asp.net core使用identity+jwt保护你的webapi(二)——获取jwt token

    前言 上一篇已经介绍了identity在web api中的基本配置,本篇来完成用户的注册,登录,获取jwt token. 开始 开始之前先配置一下jwt相关服务. 配置JWT 首先NuGet安装包: ...

  3. 如何简单的在 ASP.NET Core 中集成 JWT 认证?

    前情提要:ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统 文章超长预警(1万字以上),不想看全部实现过程的同学可以直接跳转到末尾查看成果或者一键安装相关的 nuget 包 自上一 ...

  4. Asp.Net Core之Identity应用(上篇)

    一.前言 在前面的篇章介绍中,简单介绍了IdentityServer4持久化存储机制相关配置和操作数据,实现了数据迁移,但是未对用户实现持久化操作说明.在总结中我们也提到了, 因为IdentitySe ...

  5. ASP.NET Core 之 Identity 入门(三)

    前言 在上一篇文章中,我们学习了 CookieAuthentication 中间件,本篇的话主要看一下 Identity 本身. 最早2005年 ASP.NET 2.0 的时候开始, Web 应用程序 ...

  6. [转]ASP.NET Core 之 Identity 入门(三)

    本文转自:http://www.cnblogs.com/savorboard/p/aspnetcore-identity3.html 前言 在上一篇文章中,我们学习了 CookieAuthentica ...

  7. ASP.NET Core系列:JWT身份认证

    1. JWT概述 JSON Web Token(JWT)是目前流行的跨域身份验证解决方案. JWT的官网地址:https://jwt.io JWT的实现方式是将用户信息存储在客户端,服务端不进行保存. ...

  8. ASP.NET Core 2.1 JWT Token 使用 (二) - 简书

    原文:ASP.NET Core 2.1 JWT Token 使用 (二) - 简书 接上文,https://www.jianshu.com/p/c5f9ea3b4b65 ASP.NET Core 2. ...

  9. ASP.NET Core 2.1 JWT token (一) - 简书

    原文:ASP.NET Core 2.1 JWT token (一) - 简书 JwtBearer认证是一种标准的,通用的,无状态的,与语言无关的认证方式.Bearer验证属于HTTP协议标准验证. 如 ...

随机推荐

  1. Flink 保证ExactlyOnce

    Flink 保证 ExactlyOnce 1.使用执行ExactlyOnce 的数据源,比如 kafka 2.使用FlinkConsumer,开启CheckPointing,偏移量会保存通过Check ...

  2. Go语言 判断key是否在map里 if _, ok := map[key]; ok

    if val, ok := map[key]; ok { //do something here } 如果key在map里 val 被赋值map[key] ok 是true 否则val得到相应类型的零 ...

  3. netty系列之:搭建自己的下载文件服务器

    目录 简介 文件的content-type 客户端缓存文件 其他HTTP中常用的处理 文件内容展示处理 文件传输进度 总结 简介 上一篇文章我们学习了如何在netty中搭建一个HTTP服务器,讨论了如 ...

  4. 安装配置Linux Squid代理服务器

    1.代理服务器的工作机制 代理服务器的工作机制像生活中的代理商,假设自己的机器为A,想获得的数据由服务器B提供,代理服务器为C,那么连接过程是,A需要B的数据,并直接和C连接:C接受到A的数据请求之后 ...

  5. 在python3.6环境下使用cxfreeze打包程序

    在python3.6环境下使用cxfreeze打包程序 环境:python3.6 打包程序:aliens_invasion 原本想使用pyintaller 进行打包,使用pip的安装过程也没有问题,打 ...

  6. Integer-源码

    Integer 是java5 引进的新特性 先上一个小实验: public static void main(String[] args) { Integer a1 = 100; Integer a2 ...

  7. web安全性测试——XSS跨站攻击

    1.跨站攻击含义 XSS:(Cross-site scripting)全称"跨站脚本",是注入攻击的一种.其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布 ...

  8. 洛谷P1309——迷宫(傻瓜DFS)

    题目背景 迷宫 [问题描述] 给定一个N*M方格的迷宫,迷宫里有T处障碍,障碍处不可通过.给定起点坐标和 终点坐标,问: 每个方格最多经过1次,有多少种从起点坐标到终点坐标的方案.在迷宫 中移动有上下 ...

  9. JAVA语言程序设计课程评价

    紧张的又短暂的一个学期结束了,这个学期也许将成为我人生中一个重要的转折点,作为一名半路出家的选手,在初次了解Java语言时我感到非常的迷茫与不知所措.因为之前很多同学都是通过假期时间在家自学,刚转入新 ...

  10. ATR吊灯止损策略 (含有tbquant源码)

    ATR吊灯止损策略定义: 做多,止损放在最高价之下N个ATR. 做空,止损放在最低价之上N个ATR. 该策略生成的止损点就像是从市场最高价的"天花板"上悬挂下来的吊灯.所以命名为A ...