前言
本文整理asp.net core web API的授权、鉴权以及注册验证、API保护一系列常用技术手段。
本文所有的实现代码可以参考:
https://gitee.com/xiaoqingyao/web-app-identity.git
用户管理
授权和鉴权的前提是要有一个用户管理模块,.net 提供一个现有的Identity组件,帮我们完成了大部分功能。
学习使用可以参考asp.net core使用identity+jwt保护你的webapi(一)——identity基础配置 - xhznl - 博客园
JWT服务配置及获取JwtToken
完成用户注册、登录后,就可以在登录之后为用户颁发JwtToken,完成了token颁发和接口请求时的身份验证
asp.net core使用identity+jwt保护你的webapi(二)——获取jwt token - xhznl - 博客园
弥补Jwt的先天缺钱——RefreshToken
Jwt一旦颁发,基本不可控,在过期时间内一直有效。但是如果设置有效时间过短,又会导致用户频繁登录。
refresh token就可以很好的弥补jwt的缺陷。在refresh token机制下,我们可以把token的有效期设置的短一些,比如30分钟,而refresh token的有效期可以很长;因为refresh token会持久化到数据库中,它是完全可控的。
详细操作可以参考:asp.net core使用identity+jwt保护你的webapi(三)——refresh token - xhznl - 博客园
以用户修改密码为例,演示如何获取Jwt中的信息
新增一个中间件
public class TokenMiddleware
{
private readonly RequestDelegate _next;
public TokenMiddleware(RequestDelegate next)
{
_next = next;
}
public async Task InvokeAsync(HttpContext context)
{
// 从请求头中获取 token
if (context.Request.Headers.TryGetValue("Authorization", out var token))
{
// 将 token 存入 HttpContext.Items
context.Items["Token"] = token.ToString().Replace("Bearer ", ""); // 去除 "Bearer " 前缀,如果有的话
}
// 调用管道中的下一个中间件
await _next(context);
}
}
封装一个HttpContextWrapper用于获取JwtToken
public interface IHttpContextWrapper
{
string? GetToken();
}
public class HttpContextWrapper : IHttpContextWrapper
{
private readonly Microsoft.AspNetCore.Http.HttpContext? _httpContent;
public HttpContextWrapper(IHttpContextAccessor httpContextAccessor)
{
_httpContent = httpContextAccessor.HttpContext;
}
public string? GetToken()
{
if (_httpContent != null && _httpContent.Request.Headers.TryGetValue("Authorization", out var token))
{
return token.ToString().Replace("Bearer ", "");
}
return null;
}
}
builder.Services.AddScoped<IHttpContextWrapper, HttpContextWrapper>(); // 注册自定义 HttpContextWrapper
在controller中使用
/// <summary>
/// 修改密码
/// </summary>
/// <param name="modifyPasswordRequest"></param>
/// <returns></returns>
[HttpPost("ModifyPassword")]
public async Task<IActionResult> ModifyPassword(ModifyPasswordRequest modifyPasswordRequest)
{
var token = _httpContextWrapper.GetToken();
var result = await _userService.ModifyPassword(modifyPasswordRequest, token);
if (!result.Success)
{
return BadRequest(new FailedResponse()
{
Errors = result.Errors
});
}
return Ok();
}
业务代码中校验并获取token信息的关键代码
private ClaimsPrincipal? GetClaimsPrincipalByRsaToken(string token)
{
var tokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
ValidateIssuerSigningKey = true,
//IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(jwtSettings.SecurityKey)),//使用对称加密
IssuerSigningKey = _securityKey,//使用公钥解签
ValidAlgorithms = new[] { SecurityAlgorithms.RsaSha256, SecurityAlgorithms.Aes128CbcHmacSha256 },//使用公钥解签
TokenDecryptionKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("abc111111111111111111111111111111cba")),// token解密密钥 jwe解密
ClockSkew = TimeSpan.Zero,
ValidateLifetime = false
};
var tokenHandler = new JwtSecurityTokenHandler();
// 验证 JWT
try
{
var principal = tokenHandler.ValidateToken(token, tokenValidationParameters, out var validatedToken);
return principal;
}
catch (SecurityTokenExpiredException)
{
Console.WriteLine("JWT has expired.");
}
catch (SecurityTokenInvalidSignatureException)
{
Console.WriteLine("JWT signature is invalid.");
}
catch (Exception ex)
{
Console.WriteLine("JWT validation failed: " + ex.Message);
}
return null;
}
详细代码在前面给到的gitee代码中。
修改密码后用户重新登录
根据拿到的token信息找到对应的RefreshToken进行无效掉,这样token过期后就无法再通过refresh token进行token刷新了。
var storedRefreshToken =
await _appDbContext.RefreshTokens.SingleOrDefaultAsync(x => x.Token == refreshToken);
if (storedRefreshToken == null)
{
// 无效的refresh_token...
return new TokenResult()
{
Errors = new[] { "3: Invalid request!" },
};
}
storedRefreshToken.Used = true;
await _appDbContext.SaveChangesAsync();
修改密码后用户立马重新登录
修改密码后,token还是没有过期的,这时候如何控制用户立马登录呢?
有很多技术手段比如修改jwt令牌,增加redis缓存校验等。我认为最好的办法就是前端配合把本地存储的jwttoken删除即可。
jwt升级:使用非对称加密进行Jwt签名和验签
公司内的多个业务项目都会使用该token,因此,为了让每个项目都可以进行身份认证,就需要将密钥分发给所有项目,这就产生了较大的风险。因此,使用非对称加密来计算签名,是一个更加合理地选择:我们使用私钥进行签名,然后只需要将公钥暴露出去用于验签,即可验证token是有效的(没有被篡改)。
新增RsaKeyManager用于导出公钥私钥
public class RsaKeyManager
{
public void GenerateAndSaveRsaKeys(IWebHostEnvironment env)
{
var dir = Path.Combine(env.ContentRootPath, "Rsa");
if (!Directory.Exists(dir))
{
Directory.CreateDirectory(dir);
}
if (File.Exists(Path.Combine(dir, "key.private.json"))
&& File.Exists(Path.Combine(dir, "key.public.json")))
{
return;
}
using (RSA rsa = RSA.Create(2048)) // 创建2048位的RSA密钥
{
// 导出公钥
RSAParameters publicKeyParameters = rsa.ExportParameters(false);// 导出私钥
RSAParameters privateKeyParameters = rsa.ExportParameters(true);
}
RSAParameters privateKey, publicKey;
using (var rsa = RSA.Create(2048))
{
// 导出私钥
privateKey = rsa.ExportParameters(true);
// 导出公钥
publicKey = rsa.ExportParameters(false);
}
File.WriteAllText(Path.Combine(dir, "key.public.json"), JsonConvert.SerializeObject(publicKey));
File.WriteAllText(Path.Combine(dir, "key.private.json"), JsonConvert.SerializeObject(privateKey));
}
}
在program中修改
var keyManager = new RsaKeyManager(); keyManager.GenerateAndSaveRsaKeys(builder.Environment); var rsaSecurityPrivateKeyString = File.ReadAllText(Path.Combine(builder.Environment.ContentRootPath, "Rsa", "key.private.json")); var rsaSecurityPublicKeyString = File.ReadAllText(Path.Combine(builder.Environment.ContentRootPath, "Rsa", "key.public.json")); RsaSecurityKey rsaSecurityPrivateKey = new(Newtonsoft.Json.JsonConvert.DeserializeObject<RSAParameters>(rsaSecurityPrivateKeyString)); RsaSecurityKey rsaSecurityPublicKey = new(Newtonsoft.Json.JsonConvert.DeserializeObject<RSAParameters>(rsaSecurityPublicKeyString)); //使用私钥加签 builder.Services.AddSingleton(sp => new SigningCredentials(rsaSecurityPrivateKey, SecurityAlgorithms.RsaSha256)); builder.Services.AddSingleton(rsaSecurityPublicKey);
var tokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
ValidateIssuerSigningKey = true,
//IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(jwtSettings.SecurityKey)),//使用对称加密
IssuerSigningKey = rsaSecurityPublicKey,//使用公钥解签
ValidAlgorithms = new[] { SecurityAlgorithms.RsaSha256 },//使用公钥解签
ClockSkew = TimeSpan.Zero,
};
builder.Services
.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options => { options.TokenValidationParameters = tokenValidationParameters; });
在业务代码中解密jwttoken
/// <summary>
/// 获取非对称加密token
/// </summary>
/// <param name="token"></param>
/// <returns></returns>
private ClaimsPrincipal? GetClaimsPrincipalByRsaToken(string token)
{
var tokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
ValidateIssuerSigningKey = true,
//IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(jwtSettings.SecurityKey)),//使用对称加密
IssuerSigningKey = _securityKey,//使用公钥解签
ValidAlgorithms = new[] { SecurityAlgorithms.RsaSha256 },//使用公钥解签
ClockSkew = TimeSpan.Zero,
ValidateLifetime = false
};
var tokenHandler = new JwtSecurityTokenHandler();
// 验证 JWT
var principal = tokenHandler.ValidateToken(token, tokenValidationParameters, out var validatedToken);
return principal;
}
详细代码参考前面gitee
jwt升级:JWE
加密的时候添加
var tokenDescriptor = new SecurityTokenDescriptor
{
Subject = new ClaimsIdentity(new[]
{
new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString("N")),
new Claim(JwtRegisteredClaimNames.Sub, user.Id.ToString())
}),
IssuedAt = DateTime.UtcNow,
NotBefore = DateTime.UtcNow,
Expires = DateTime.UtcNow.Add(_jwtSettings.ExpiresIn),
SigningCredentials = _signingCredentials//非对称加密
,
EncryptingCredentials = new EncryptingCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes("abc111111111111111111111111111111cba")), JwtConstants.DirectKeyUseAlg, SecurityAlgorithms.Aes128CbcHmacSha256)
};
解密的时候添加
var tokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
ValidateIssuerSigningKey = true,
//IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(jwtSettings.SecurityKey)),//使用对称加密
IssuerSigningKey = _securityKey,//使用公钥解签
ValidAlgorithms = new[] { SecurityAlgorithms.RsaSha256, SecurityAlgorithms.Aes128CbcHmacSha256 },//使用公钥解签
TokenDecryptionKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("abc111111111111111111111111111111cba")),// token解密密钥 jwe解密
ClockSkew = TimeSpan.Zero,
ValidateLifetime = false
};
在program中同步修改解密配置
var tokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
ValidateIssuerSigningKey = true,
//IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(jwtSettings.SecurityKey)),//使用对称加密
IssuerSigningKey = rsaSecurityPublicKey,//使用公钥解签
ValidAlgorithms = new[] { SecurityAlgorithms.RsaSha256, SecurityAlgorithms.Aes128CbcHmacSha256 },//使用公钥解签
TokenDecryptionKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("abc111111111111111111111111111111cba")),// token解密密钥 jwe解密
ClockSkew = TimeSpan.Zero,
};
参考:【ASP.NET Core 认证】JwtBearer认证 - .Neterr - 博客园
标签:core,公钥,false,web,token,API,var,new,public From: https://www.cnblogs.com/chenxizhaolu/p/18489096