ASP.Net Core 3.1 中使用JWT认证
jwt认证简单介绍
关于jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构。
jwt主要由三部分组成,如下:
header.payload.signature
header
包含token的元数据,主要是加密算法,和签名的类型,如下面的信息,说明了
加密的对象类型是jwt,加密算法是hmac sha-256
{"alg":"hs256","typ":"jwt"}
然后需要通过base64编码后存入token中
eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9
payload
主要包含一些声明信息(claim),这些声明是key-value对的数据结构。
通常如用户名,角色等信息,过期日期等,因为是未加密的,所以不建议存放敏感信息。
{"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name":"admin","exp":1578645536,"iss":"webapi.cn","aud":"webapi"}
也需要通过base64编码后存入token中
eyjodhrwoi8vc2nozw1hcy54bwxzb2fwlm9yzy93cy8ymda1lza1l2lkzw50axr5l2nsywltcy9uyw1lijoiywrtaw4ilcjlehaioje1nzg2ndu1mzysimlzcyi6indlymfwas5jbiisimf1zci6ildlykfwasj9
signature
jwt要符合jws(json web signature)的标准生成一个最终的签名。把编码后的header和payload信息加在一起,然后使用一个强加密算法,如 hmacsha256,进行加密。hs256(base64(header).base64(payload),secret)
2_akeh40lr2qwekgjm8tt3lessbktdethmjmo_3jpf4
最后生成的token如下
eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjodhrwoi8vc2nozw1hcy54bwxzb2fwlm9yzy93cy8ymda1lza1l2lkzw50axr5l2nsywltcy9uyw1lijoiywrtaw4ilcjlehaioje1nzg2ndu1mzysimlzcyi6indlymfwas5jbiisimf1zci6ildlykfwasj9.2_akeh40lr2qwekgjm8tt3lessbktdethmjmo_3jpf4
开发环境
框架:asp.net 3.1
ide:vs2019
asp.net 3.1 webapi中使用jwt认证
命令行中执行执行以下命令,创建webapix项目:
dotnet new webapi -n webapi -o webapi
特别注意的时,3.x默认是没有jwt的microsoft.aspnetcore.authentication.jwtbearer库的,所以需要手动添加nuget package,切换到项目所在目录,执行 .net cli命令
dotnet add package microsoft.aspnetcore.authentication.jwtbearer --version 3.1.0
创建一个简单的poco类,用来存储签发或者验证jwt时用到的信息
using newtonsoft.json; using system; using system.collections.generic; using system.linq; using system.threading.tasks; namespace webapi.models { public class tokenmanagement { [jsonproperty("secret")] public string secret { get; set; } [jsonproperty("issuer")] public string issuer { get; set; } [jsonproperty("audience")] public string audience { get; set; } [jsonproperty("accessexpiration")] public int accessexpiration { get; set; } [jsonproperty("refreshexpiration")] public int refreshexpiration { get; set; } } }
然后在 appsettings.development.json
增加jwt使用到的配置信息(如果是生成环境在appsettings.json
添加即可)
"tokenmanagement": { "secret": "123456", "issuer": "webapi.cn", "audience": "webapi", "accessexpiration": 30, "refreshexpiration": 60 }
然后再startup类的configureservices方法中增加读取配置信息
public void configureservices(iservicecollection services) { services.addcontrollers(); services.configure<tokenmanagement>(configuration.getsection("tokenmanagement")); var token = configuration.getsection("tokenmanagement").get<tokenmanagement>(); }
到目前为止,我们完成了一些基础工作,下面再webapi中注入jwt的验证服务,并在中间件管道中启用authentication中间件。
startup类中要引用jwt验证服务的命名空间
using microsoft.aspnetcore.authentication.jwtbearer; using microsoft.identitymodel.tokens;
然后在configureservices
方法中添加如下逻辑
services.addauthentication(x => { x.defaultauthenticatescheme = jwtbearerdefaults.authenticationscheme; x.defaultchallengescheme = jwtbearerdefaults.authenticationscheme; }).addjwtbearer(x => { x.requirehttpsmetadata = false; x.savetoken = true; x.tokenvalidationparameters = new tokenvalidationparameters { validateissuersigningkey = true, issuersigningkey = new symmetricsecuritykey(encoding.ascii.getbytes(token.secret)), validissuer = token.issuer, validaudience = token.audience, validateissuer = false, validateaudience = false }; });
再configure
方法中启用验证
public void configure(iapplicationbuilder app, iwebhostenvironment env) { if (env.isdevelopment()) { app.usedeveloperexceptionpage(); } app.usehttpsredirection(); app.useauthentication(); app.userouting(); app.useauthorization(); app.useendpoints(endpoints => { endpoints.mapcontrollers(); }); }
上面完成了jwt验证的功能,下面就需要增加签发token的逻辑。我们需要增加一个专门用来用户认证和签发token的控制器,命名成authenticationcontroller
,同时增加一个请求的dto类
public class loginrequestdto { [required] [jsonproperty("username")] public string username { get; set; } [required] [jsonproperty("password")] public string password { get; set; } }
[route("api/[controller]")] [apicontroller] public class authenticationcontroller : controllerbase { [allowanonymous] [httppost, route("requesttoken")] public actionresult requesttoken([frombody] loginrequestdto request) { if (!modelstate.isvalid) { return badrequest("invalid request"); } return ok(); } }
目前上面的控制器只实现了基本的逻辑,下面我们要创建签发token的服务,去完成具体的业务。第一步我们先创建对应的服务接口,命名为iauthenticateservice
public interface iauthenticateservice { bool isauthenticated(loginrequestdto request, out string token); }
接下来,实现接口
public class tokenauthenticationservice : iauthenticateservice { public bool isauthenticated(loginrequestdto request, out string token) { throw new notimplementedexception(); } }
在startup
的configureservices
方法中注册服务
services.addscoped<iauthenticateservice, tokenauthenticationservice>();
在controller中注入iauthenticateservice服务,并完善action
public class authenticationcontroller : controllerbase { private readonly iauthenticateservice _authservice; public authenticationcontroller(iauthenticateservice authservice) { this._authservice = authservice; } [allowanonymous] [httppost, route("requesttoken")] public actionresult requesttoken([frombody] loginrequestdto request) { if (!modelstate.isvalid) { return badrequest("invalid request"); } string token; if (_authservice.isauthenticated(request, out token)) { return ok(token); } return badrequest("invalid request"); } }
正常情况,我们都会根据请求的用户和密码去验证用户是否合法,需要连接到数据库获取数据进行校验,我们这里为了方便,假设任何请求的用户都是合法的。
这里单独加个用户管理的服务,不在iauthenticateservice这个服务里面添加相应逻辑,主要遵循了职责单一原则
。首先和上面一样,创建一个服务接口iuserservice
public interface iuserservice { bool isvalid(loginrequestdto req); }
实现iuserservice
接口
public class userservice : iuserservice { //模拟测试,默认都是人为验证有效 public bool isvalid(loginrequestdto req) { return true; } }
同样注册到容器中
services.addscoped<iuserservice, userservice>();
接下来,就要完善tokenauthenticationservice签发token的逻辑,首先要注入iuserservice 和 tokenmanagement,然后实现具体的业务逻辑,这个token的生成还是使用的jwt的类库提供的api,具体不详细描述。
特别注意下tokenmanagement的注入是已ioptions的接口类型注入的,还记得在startpup中吗?我们是通过配置项的方式注册tokenmanagement类型的。
public class tokenauthenticationservice : iauthenticateservice { private readonly iuserservice _userservice; private readonly tokenmanagement _tokenmanagement; public tokenauthenticationservice(iuserservice userservice, ioptions<tokenmanagement> tokenmanagement) { _userservice = userservice; _tokenmanagement = tokenmanagement.value; } public bool isauthenticated(loginrequestdto request, out string token) { token = string.empty; if (!_userservice.isvalid(request)) return false; var claims = new[] { new claim(claimtypes.name,request.username) }; var key = new symmetricsecuritykey(encoding.utf8.getbytes(_tokenmanagement.secret)); var credentials = new signingcredentials(key, securityalgorithms.hmacsha256); var jwttoken = new jwtsecuritytoken(_tokenmanagement.issuer, _tokenmanagement.audience, claims, expires: datetime.now.addminutes(_tokenmanagement.accessexpiration), signingcredentials: credentials); token = new jwtsecuritytokenhandler().writetoken(jwttoken); return true; } }
准备好测试试用的api,打上authorize特性,表明需要授权!
[apicontroller] [route("[controller]")] [authorize] public class weatherforecastcontroller : controllerbase { private static readonly string[] summaries = new[] { "freezing", "bracing", "chilly", "cool", "mild", "warm", "balmy", "hot", "sweltering", "scorching" }; private readonly ilogger<weatherforecastcontroller> _logger; public weatherforecastcontroller(ilogger<weatherforecastcontroller> logger) { _logger = logger; } [httpget] public ienumerable<weatherforecast> get() { var rng = new random(); return enumerable.range(1, 5).select(index => new weatherforecast { date = datetime.now.adddays(index), temperaturec = rng.next(-20, 55), summary = summaries[rng.next(summaries.length)] }) .toarray(); } }
支持我们可以测试验证了,我们可以使用postman来进行http请求,先启动http服务,获取url,先测试一个访问需要授权的接口,但没有携带token信息,返回是401,表示未授权
下面我们先通过认证接口,获取token,居然报错,查询了下,发现hs256算法的秘钥长度最新为128位,转换成字符至少16字符,之前设置的秘钥是123456,所以导致异常。
system.argumentoutofrangeexception: idx10603: decryption failed. keys tried: 'hs256'. exceptions caught: '128'. token: '48' (parameter 'keysize') at
更新秘钥
"tokenmanagement": { "secret": "123456123456123456", "issuer": "webapi.cn", "audience": "webapi", "accessexpiration": 30, "refreshexpiration": 60 }
重新发起请求,成功获取token
eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjodhrwoi8vc2nozw1hcy54bwxzb2fwlm9yzy93cy8ymda1lza1l2lkzw50axr5l2nsywltcy9uyw1lijoiywrtaw4ilcjlehaioje1nzg2nduymdmsimlzcyi6indlymfwas5jbiisimf1zci6ildlykfwasj9.aehd8wtanetklof2ojsvg0u4_o8_sjdxmwujzaiui-o
把token带到之前请求的api中,重新测试,成功获取数据
总结
基于token的认证方式,让我们构建分布式/松耦合的系统更加容易。任何地方生成的token,只有拥有相同秘钥,就可以再任何地方进行签名校验。
当然要用好jwt认证方式,还有其他安全细节需要处理,比如palyload中不能存放敏感信息,使用https的加密传输方式等等,可以根据业务实际需要再进一步安全加固!
同时我们也发现使用token,就可以摆脱cookie的限制,所以jwt是移动app开发的首选!
推荐阅读
-
在ASP.NET Core 3.0中使用Swagger
-
在.NET Core中使用Jwt对API进行认证
-
ASP.Net Core 3.1 中使用JWT认证
-
浅谈如何在ASP.NET Core中实现一个基础的身份认证
-
在ASP.NET Core中实现一个Token base的身份认证实例
-
详解在ASP.NET Core中使用Angular2以及与Angular2的Token base身份认证
-
【翻译】使用WebApi和Asp.Net Core Identity 认证 Blazor WebAssembly(Blazor客户端应用)
-
在Asp.Net或.Net Core中配置使用MarkDown富文本编辑器有开源模板代码(代码是.net core3.0版本)
-
ASP.NET Core 3.0 : 二十八. 在Docker中的部署以及docker-compose的使用
-
在Asp.Net Core中配置使用MarkDown富文本编辑器实现图片上传和截图上传(开源代码.net core3.0)