首页 > 其他分享 >.net Core 系统 架构回忆录----.net 6+jwt 验证服务

.net Core 系统 架构回忆录----.net 6+jwt 验证服务

时间:2022-12-23 21:22:59浏览次数:70  
标签:Core JWT jwt token session new var 服务器 net

现在越来越多的项目或多或少会用到JWT,为什么会出现使用JWT这样的场景的呢?

假设现在有一个APP,后台是分布式系统。APP的首页模块部署在上海机房的服务器上,子页面模块部署在深圳机房的服务器上。此时你从首页登录了该APP,然后跳转到子页面模块。session在两个机房之间不能同步,用户是否需要重新登录?

传统的方式(cookie+session)需要重新登录,用户体验不好。session共享(在多台物理机之间传输和复制session)方式对网络IO的压力大,延迟太长,用户体验也不好。

 

说到这大家可能会想到,用服务器的session_id存储到cookies中也能做到,为什么非要用token呢?网上有许多文章来比较token和session的优缺点,其实,开发web应用的话用哪种都行。但如果是开发api接口,前后端分离,最好使用token,为什么这么说呢,因为session+cookies是基于web的。但是针对 api接口,可能会考虑到移动端,app是没有cookies和session的。

Session方式存储用户信息的最大问题在于要占用大量服务器内存,增加服务器的开销。

而JWT方式将用户状态分散到了客户端中,可以明显减轻服务端的内存压力。Session的状态是存储在服务器端,客户端只有session id;而Token的状态是存储在客户端。

JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,以后,用户与服务端通信的时候,都要发回这个 JSON 对象。

服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据,服务器在生成这个对象的时候,会加上签名。

服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。

JWT 的三个部分依次是:Header(头部)、Payload(负载)、Signature(签名)

写成一行,就是下面的样子。

Header.Payload.Signature

header典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)

{
    "alg": "HS256", //alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256)
    "typ": "JWT"   //typ属性表示这个令牌(token)的类型(type)
}

然后用Base64对这个JSON编码就得到JWT的第一部分


 

JWT的第二部分是payload,它包含声明(要求)。声明是关于实体(通常是用户)和其他数据的声明

JWT 规定了7个官方字段

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

注意,不要在JWT的payload或header中放置敏感信息,除非它们是加密的。


 

Signature 部分是对前两部分的签名,防止数据篡改。

签名是用于验证消息在传递过程中有没有被更改,并且,对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方。

为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥。签名算法是header中指定的那个,然对它们签名即可。按照下面的公式产生签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。


 

1、客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

2、JWT 就放在 POST 请求的数据体里面,那么跨源资源共享(CORS)将不会成为问题,因为它不使用cookie。

 

  • 应用(或者客户端)向授权服务器请求授权。例如,如果用授权码流程的话,就是/oauth/authorize
  • 当授权被许可以后,授权服务器返回一个access token给应用
  • 应用使用access token访问受保护的资源(比如:API)

 

1.JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。

2.JWT 不加密的情况下,不能将秘密数据写入 JWT。

3.JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。

4.JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。

注意:

JWT 是 JSON 格式的被加密了的字符串

JWT 的核心是密钥,就是 JSON 数据。这是你关心的,并希望安全传递出去的数据。JWT 如何做到这一点,并使你信任它,就是加密签名。

被篡改之后

参考官方文档:JSON Web Tokens


.net6 使用 JWT 

安装 Nuget 包 Microsoft.AspNetCore.Authentication.JwtBearer

Program.cs 里添加JWT 

using Microsoft.AspNetCore.Authentication.JwtBearer; 



#region 添加jwt验证:
{
    builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(options =>
    {
        options.TokenValidationParameters = new TokenValidationParameters()
        {
            ValidateIssuer = true,
            ValidIssuer = builder.Configuration["JWT:Issuer"],
            ValidateAudience = true,
            ValidAudience = builder.Configuration["JWT:Audience"],
            ValidateLifetime = true,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(builder.Configuration["JWT:SecretKey"]))
        };
    });
}
#endregion

添加鉴权/授权

app.UseHttpsRedirection();

app.UseAuthentication();//在前 鉴权
app.UseAuthorization(); //在后 授权

app.MapControllers();
app.Run();

appsettings.json

 "JWT": {
    "Issuer": "随意默认是自己的域名",//发行人
    "Audience": "前端随写",//拥有者
    "SecretKey": "666666666666666666",//16位以上
    "Expires": 7//过期时间 单位:天
  }

控制器中颁发token

        [HttpPost("login")]
        public IActionResult Login(JwtUser loginUser)
        {
            //1.验证用户账号密码是否正确,暂时忽略,因为我们是模拟登录

            //2.生成JWT
            //Header,选择签名算法
            var signingAlogorithm = SecurityAlgorithms.HmacSha256;
            //Payload,存放用户信息,下面我们放了一个用户id
            var claims = new[]
            {
                new Claim(JwtRegisteredClaimNames.Sub,"id_10086"),
                new Claim(ClaimTypes.Role,"admin"),
                //new Claim("","")
            };
            //Signature
            //取出私钥并以utf8编码字节输出
            var secretByte = Encoding.UTF8.GetBytes(_configuration["JWT:SecretKey"]);
            //使用非对称算法对私钥进行加密
            var signingKey = new SymmetricSecurityKey(secretByte);
            //使用HmacSha256来验证加密后的私钥生成数字签名
            var signingCredentials = new SigningCredentials(signingKey, signingAlogorithm);
            //生成Token
            var Token = new JwtSecurityToken(
                    issuer: _configuration["JWT:Issuer"],        //发布者
                    audience: _configuration["JWT:Audience"],    //接收者
                    claims: claims,                                         //存放的用户信息
                    notBefore: DateTime.UtcNow,                             //发布时间
                    expires: DateTime.UtcNow.AddDays(1),                    //有效期设置为1天
                    signingCredentials                                      //数字签名
                );
            //生成字符串token
            var tokenStr = new JwtSecurityTokenHandler().WriteToken(Token);
            return Ok(tokenStr);
        }

控制器中鉴权或者添加自定义一些操作

        [HttpGet("testjwt")]
        [Authorize(Roles = "admin")]
        public IActionResult TestJwt()
        {
            if (Request.Headers.ContainsKey("Authorization"))
            {
                var token = Request.Headers["Authorization"].ToString().Replace("Bearer", "").Replace("bearer", "").TrimStart();//去掉 "Bearer "才是真正的token
                var tokenStr = new JwtSecurityTokenHandler().ReadJwtToken(token);
                var ab = tokenStr.Payload.FirstOrDefault(x => x.Key == "sub");
            }
            return Ok("test!");
        }

 

标签:Core,JWT,jwt,token,session,new,var,服务器,net
From: https://www.cnblogs.com/daboluo/p/17001655.html

相关文章

  • 一阶段目标检测网络-RetinaNet 详解
    摘要1,引言2,相关工作3,网络架构3.1,Backbone3.2,Neck3.3,Head4,FocalLoss4.1,CrossEntropy4.2,BalancedCrossEntropy4.3,FocalLossDefinition5,代码解读5.......
  • 学习.NET MAUI Blazor(一)、Blazor是个啥?
    先把Blazor放一边,先来看看目前Web开发的技术栈。注:上图只是为了说明问题,没有任何语言歧视!这是目前最常用的前后端分离开发模式,这个开发模式需要配备前端工程师和后端工......
  • kubernetes-Job/CronJob
    离线任务“离线业务”可以分为两种。一种是“临时任务”,跑完就完事,下次有需求了说一声再重新安排;另一种是“定时任务”,可以按时按点周期运行,不需要过多干预。这分别对应了......
  • Kubernetes控制器的工作原理
    Kubernetes的核心就是控制理论,Kubernetes控制器中实现的控制回路是一种闭环反馈控制系统,该类型的控制系统基于反馈回路将目标系统的当前状态与预定义的期望状态相比较,二者......
  • 启动和使用 Netflix Eureka 服务注册表的过程
    本指南将引导您完成启动和使用NetflixEureka服务注册表的过程。您将构建什么您将设置一个Netflix尤里卡服务注册表然后生成一个客户端,该客户端既向注册表注册自身,又使用......
  • Kubernetes控制器的工作原理
     Kubernetes的核心就是控制理论,Kubernetes控制器中实现的控制回路是一种闭环反馈控制系统,该类型的控制系统基于反馈回路将目标系统的当前状态与预定义的期望状态相比较,......
  • 【.NET Core】基于.NET Framework的WPF项目升级到.NET 6
    官方文档:将WPF应用升级到.NET6-.NETCore|MicrosoftLearn.NET(Core)可谓是大势所趋,最近有一个项目计划将单机应用改成客户端-服务器模式,对比了ASP.NETCoreweb......
  • vscode 中切换 kubernetes namespace
    vscode快捷键参考链接macOS版本Windows版本备用链接:macOS版本Windows版本Windows客户端切换到etek-prod名称空间打开VisualStudioCode软件,进入Kubern......
  • 17_2 kubernetes CKA 模拟题总结
    做题前注意是否在要求的上下文#查看当前所在的contextkubectlconfigcurrent-context#输出kubernetes-admin@kubernetes#使用指定的contextkubectlconfigus......
  • Kubernetes监控手册07-监控controller-manager
    写在前面controller-manager是Kubernetes控制面的组件,通常不太可能出问题,一般监控一下通用的进程指标就问题不大了,不过controller-manager确实也暴露了很多 ​​/metr......