本文主要分为两个部分:
1、概念
2、.net 8 demo
第一部分主要描述所有与 JWT 相关的概念以及词汇,及其原理;第二部分是代码示例。
1、概念
|
JWT |
json web token 是一种开放标准(RFC 7519),是指定一种数据格式(json) 和数据结构 (header, payload, signature) , 用于网络应用间信息传输,一般是用于客户端与服务器之间的安全校验 |
|
authentication |
鉴权;可以为用户创建 token,可以校验 token 有效性 |
|
authorization |
批准 / 授权;是一种配置,约束访问条件,例如: [Authorize(Roles = "Admin")] // 管理员才可访问 [Authorize(Policy = "EmployeeWithDepartment")] // 符合特定策略才可访问 |
|
bearer |
持票人,使用场景在于请求时,header 的格式 例如请求头部的参数 "Authorization" : "Bearer tokenString" |
一个 token 由 3 个部分组成,并且以实心句号 . 分割,以下为一个 token 示例:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoidXNlcjEyMyIsIm5iZiI6MTczMTM5MzYzNiwiZXhwIjoxNzMxMzk3MjM2LCJpYXQiOjE3MzEzOTM2MzYsImlzcyI6InlvdXJkb21haW4uY29tIiwiYXVkIjoieW91ci1hcGktYXVkaWVuY2UifQ.q2zUeZ3RAVIxg5CVNI2Pjq9Nfvue3_tCQagDRJmStYI
|
|
token part |
decode (by base64) |
remark |
|
header |
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 |
{ "alg" : "HS256", "typ" : "JWT" } |
token metadata 说明用于加密的算法类型 |
|
payload (有效载荷) |
eyJuYW1lIjoidXNlcjEyMyIsIm5iZiI6MTczMTM5MzYzNiwiZXhwIjoxNzMxMzk3MjM2LCJpYXQiOjE3MzEzOTM2MzYsImlzcyI6InlvdXJkb21haW4uY29tIiwiYXVkIjoieW91ci1hcGktYXVkaWVuY2UifQ |
{ "name": "user123", "nbf": 1731393636, "exp": 1731397236, "iat": 1731393636, "iss": "yourdomain.com", "aud": "your-api-audience" } |
自定义的用户信息(claims), 以及一些必要信息: nbf : not before, token 生效时间 exp : expiration time, token 过期时间 iat : issued at 签发时间 iss : issuer of the token 签发者(比如服务端名字) aud : audience,该 token 的受众,可以是服务名称 或者 api 名称等等 |
|
signature |
q2zUeZ3RAVIxg5CVNI2Pjq9Nfvue3_tCQagDRJmStYI |
N/A |
signature:是根据 header 中指定的算法以及在服务端密钥,对 payload 加密得到的哈希值; 用于服务端校验 token 是否签发自服务端。
(请求时 token 的 payload 与解密 signature 后得到的payload 需要一致,所以擅改 payload 会导致token 无效)
无状态(stateless):指服务端不需要存储任何关于用户会话的信息。 signature 的设计保证了 token 的安全性,所以不再需要另外存储用户会话状态,以此减少服务端压力和复杂性,做到“无状态”化。 |
* base64 transfer online : Base64编码_base64在线解码_base64加密在线转换
2、.net 8 demo
2.1 Authentication
包引用
using Microsoft.IdentityModel.Tokens; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims;
创建 token 的方法
1 public string GenerateJwtToken(string userName)
2 {
3
4 var tokenHander = new JwtSecurityTokenHandler();
5 var key = Encoding.ASCII.GetBytes("your secret key");
6 var tokenDescriptor = new SecurityTokenDescriptor
7 {
8 // configure the custome information in the Claim instance
9 Subject = new System.Security.Claims.ClaimsIdentity(new[] { new Claim("name", userName) }),
10
11 // configure the expiration time
12 Expires = DateTime.UtcNow.AddHours(1),
13
14 // issuer could be your service name or other, and it will be the [iss] of the token
15 Issuer = "xx Servicing",
16
17 // audience could be the audience of your service, and it will be the [aud] of the token
18 Audience = "your api audience",
19
20 // configure secret algorithm and secret key for signature part
21 SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
22
23 };
24
25 var token = tokenHander.CreateToken(tokenDescriptor);
26 return tokenHander.WriteToken(token);
27 }
验证 token 的配置
1 builder.Services.AddAuthentication(options =>
2 {
3 options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
4 options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
5 })
6 .AddJwtBearer(options =>
7 {
8 options.TokenValidationParameters = new TokenValidationParameters
9 {
10 // validate the token expiration
11 ValidateLifetime = true,
12
13 // validate signature
14 ValidateIssuerSigningKey = true,
15
16 // need to sure the issuer/audience value here is same with the issuer/audience while token generating
17 ValidateIssuer = true,
18 ValidateAudience = true,
19 ValidIssuer = "yourdomain.com",
20 ValidAudience = "your-api-audience",
21
22 //ValidateIssuer = false, // Skip issuer validation
23 //ValidateAudience = false, // Skip audience validation
24
25 IssuerSigningKey = new SymmetricSecurityKey("your secret key"),
26 ClockSkew = TimeSpan.FromMinutes(5) // Allow for clock skew
27
28 };
29
30 });
开启 authentication 和 authorization
1 app.UseAuthentication(); 2 app.UseAuthorization();
!注意:
1、此处的 Authentication,Authorization 都是 Miscroft.AspNetCore 自带的中间件。
2、Authentication 是鉴权,Authorization 是授权 / 批准,这两个中间件的位置不能错,必须是:鉴权在前。
|
Authentication 中间件主要负责验证 token ,比如检查签名是否正确,检查 token 有效期。 当 Authentication 中间件成功验证令牌后,它会将 token 中的用户信息(像是用户ID、角色等)写入到 httpContext,再传递给 Authorization 中间件。此时,Authorization 会拿到有效的 httpContext.User 属性,这是一个 ClaimsPrincipal 对象,包含了用户信息声明(claims); 若绕开了 Authentication 中间件,httpContext 直接到 Authorization ,此时会找不到合法的 httpContext.User,所以返回 401 Unauthorized 错误。 |
2.2 Authorization
2.2.1 Authorize
1 // 标注 Authorize 后访问该api时会验证token
2 [Authorize]
3 [HttpGet("GetList")]
4 public IEnumerable<WeatherForecast> GetList()
5 {
6 ..
7 }
2.2.2 Policy 策略
1 // 在 Startup.cs 中配置策略
2 services.AddAuthorization(options =>
3 {
4 options.AddPolicy("Over18", policy =>
5 policy.RequireClaim("Age", "18")); // 验证 token 中的 age 参数是否等于 18
6 });
7
8 // 在 Controller 中使用策略
9 [Authorize(Policy = "Over18")]
10 public IActionResult RestrictedContent()
11 {
12 ..
13 }
1 // 验证 token 中的 role 参数是否 ("Admin", "Manager")中的成员,注:大小写敏感
2 services.AddAuthorization(options =>
3 {
4 options.AddPolicy("AdminOrManager", policy =>
5 policy.RequireRole("Admin", "Manager"));
6 });
7
8 // 多个“并且”条件的声明
9 services.AddAuthorization(options =>
10 {
11
12 options.AddPolicy("EmployeeWithDepartment", policy =>
13 policy.RequireClaim("EmployeeNumber")
14 .RequireClaim("Department", "HR", "IT"));
15 });
2.2.3 AllowAnonymous
[Authorize] 可以修饰在 controller 上,这意味着该 controller 下的所有 api 都需要验证token,此时可以通过修饰 [AllowAnonymous] 特别指定某一个 api 不需要 token 验证。
1 [Authorize]
2 public class AccountController : Controller
3 {
4
5 [AllowAnonymous]
6 public IActionResult Login()
7 {
8 ..
9 }
10
11
12 public IActionResult Logout()
13 {
14 ..
15 }
16
17 }
博客园的编辑器也太难用了吧!!
2024-11-13
标签:Authorize,api,JWT,audience,token,十分钟,new,net,options From: https://www.cnblogs.com/carmen-019/p/18544948