ASP.Net Core3.0中使用JWT認證的實現
JWT認證簡單介紹
關於Jwt的介紹網上很多,此處不在贅述,我們主要看看jwt的結構。
JWT主要由三部分組成,如下:
HEADER.PAYLOAD.SIGNATURE
HEADER
包含token的元資料,主要是加密演算法,和簽名的型別,如下面的資訊,說明了
加密的物件型別是JWT,加密演算法是HMAC SHA-256
{"alg":"HS256","typ":"JWT"}
然後需要通過BASE64編碼後存入token中
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload
主要包含一些宣告資訊(claim),這些宣告是key-value對的資料結構。
通常如使用者名稱,角色等資訊,過期日期等,因為是未加密的,所以不建議存放敏感資訊。
{"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name":"admin","exp":1578645536,"iss":"webapi.cn","aud":"WebApi"}
也需要通過BASE64編碼後存入token中
eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9
Signature
jwt要符合jws(Json Web Signature)的標準生成一個最終的簽名。把編碼後的Header和Payload資訊加在一起,然後使用一個強加密演算法,如 HmacSHA256,進行加密。HS256(BASE64(Header).Base64(Payload),secret)
2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4
最後生成的token如下
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4
開發環境
框架:asp.net 3.1
IDE:VS2019
ASP.NET 3.1 Webapi中使用JWT認證
命令列中執行執行以下命令,建立webapix專案:
dotnet new webapi -n Webapi -o WebApi
特別注意的時,3.x預設是沒有jwt的Microsoft.AspNetCore.Authentication.JwtBearer庫的,所以需要手動新增NuGet Package,切換到專案所在目錄,執行 .net cli命令
dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 3.1.0
建立一個簡單的POCO類,用來儲存簽發或者驗證jwt時用到的資訊
using Newtonsoft.Json; using System; using System.Collections.Generic; using System.Linq; using System.Threading.Tasks; namespace Webapi.Models { public class TokenManagement { [JsonProperty("secret")] public string Secret { get; set; } [JsonProperty("issuer")] public string Issuer { get; set; } [JsonProperty("audience")] public string Audience { get; set; } [JsonProperty("accessExpiration")] public int AccessExpiration { get; set; } [JsonProperty("refreshExpiration")] public int RefreshExpiration { get; set; } } }
然後在 appsettings.Development.json
增加jwt使用到的配置資訊(如果是生成環境在 appsettings.json
新增即可)
"tokenManagement": { "secret": "123456","issuer": "webapi.cn","audience": "WebApi","accessExpiration": 30,"refreshExpiration": 60 }
然後再startup類的ConfigureServices方法中增加讀取配置資訊
public void ConfigureServices(IServiceCollection services) { services.AddControllers(); services.Configure<TokenManagement>(Configuration.GetSection("tokenManagement")); var token = Configuration.GetSection("tokenManagement").Get<TokenManagement>(); }
到目前為止,我們完成了一些基礎工作,下面再webapi中注入jwt的驗證服務,並在中介軟體管道中啟用authentication中介軟體。
startup類中要引用jwt驗證服務的名稱空間
using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.IdentityModel.Tokens;
然後在 ConfigureServices
方法中新增如下邏輯
services.AddAuthentication(x => { x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; }).AddJwtBearer(x => { x.RequireHttpsMetadata = false; x.SaveToken = true; x.TokenValidationParameters = new TokenValidationParameters { ValidateIssuerSigningKey = true,IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(token.Secret)),ValidIssuer = token.Issuer,ValidAudience = token.Audience,ValidateIssuer = false,ValidateAudience = false }; });
再 Configure
方法中啟用驗證
public void Configure(IApplicationBuilder app,IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseHttpsRedirection(); app.UseAuthentication(); app.UseRouting(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllers(); }); }
上面完成了JWT驗證的功能,下面就需要增加簽發token的邏輯。我們需要增加一個專門用來使用者認證和簽發token的控制器,命名成 AuthenticationController
,同時增加一個請求的DTO類
public class LoginRequestDTO { [Required] [JsonProperty("username")] public string Username { get; set; } [Required] [JsonProperty("password")] public string Password { get; set; } }
[Route("api/[controller]")] [ApiController] public class AuthenticationController : ControllerBase { [AllowAnonymous] [HttpPost,Route("requestToken")] public ActionResult RequestToken([FromBody] LoginRequestDTO request) { if (!ModelState.IsValid) { return BadRequest("Invalid Request"); } return Ok(); } }
目前上面的控制器只實現了基本的邏輯,下面我們要建立簽發token的服務,去完成具體的業務。第一步我們先建立對應的服務介面,命名為 IAuthenticateService
public interface IAuthenticateService { bool IsAuthenticated(LoginRequestDTO request,out string token); }
接下來,實現介面
public class TokenAuthenticationService : IAuthenticateService { public bool IsAuthenticated(LoginRequestDTO request,out string token) { throw new NotImplementedException(); } }
在 Startup
的 ConfigureServices
方法中註冊服務
services.AddScoped<IAuthenticateService,TokenAuthenticationService>();
在Controller中注入IAuthenticateService服務,並完善action
public class AuthenticationController : ControllerBase { private readonly IAuthenticateService _authService; public AuthenticationController(IAuthenticateService authService) { this._authService = authService; } [AllowAnonymous] [HttpPost,Route("requestToken")] public ActionResult RequestToken([FromBody] LoginRequestDTO request) { if (!ModelState.IsValid) { return BadRequest("Invalid Request"); } string token; if (_authService.IsAuthenticated(request,out token)) { return Ok(token); } return BadRequest("Invalid Request"); } }
正常情況,我們都會根據請求的使用者和密碼去驗證使用者是否合法,需要連線到資料庫獲取資料進行校驗,我們這裡為了方便,假設任何請求的使用者都是合法的。
這裡單獨加個使用者管理的服務,不在IAuthenticateService這個服務裡面新增相應邏輯,主要遵循了 職責單一原則
。首先和上面一樣,建立一個服務介面 IUserService
public interface IUserService { bool IsValid(LoginRequestDTO req); }
實現 IUserService
介面
public class UserService : IUserService { //模擬測試,預設都是人為驗證有效 public bool IsValid(LoginRequestDTO req) { return true; } }
同樣註冊到容器中
services.AddScoped<IUserService,UserService>();
接下來,就要完善TokenAuthenticationService簽發token的邏輯,首先要注入IUserService 和 TokenManagement,然後實現具體的業務邏輯,這個token的生成還是使用的Jwt的類庫提供的api,具體不詳細描述。
特別注意下TokenManagement的注入是已IOptions的介面型別注入的,還記得在Startpup中嗎?我們是通過配置項的方式註冊TokenManagement型別的。
public class TokenAuthenticationService : IAuthenticateService { private readonly IUserService _userService; private readonly TokenManagement _tokenManagement; public TokenAuthenticationService(IUserService userService,IOptions<TokenManagement> tokenManagement) { _userService = userService; _tokenManagement = tokenManagement.Value; } public bool IsAuthenticated(LoginRequestDTO request,out string token) { token = string.Empty; if (!_userService.IsValid(request)) return false; var claims = new[] { new Claim(ClaimTypes.Name,request.Username) }; var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_tokenManagement.Secret)); var credentials = new SigningCredentials(key,SecurityAlgorithms.HmacSha256); var jwtToken = new JwtSecurityToken(_tokenManagement.Issuer,_tokenManagement.Audience,claims,expires: DateTime.Now.AddMinutes(_tokenManagement.AccessExpiration),signingCredentials: credentials); token = new JwtSecurityTokenHandler().WriteToken(jwtToken); return true; } }
準備好測試試用的APi,打上Authorize特性,表明需要授權!
[ApiController] [Route("[controller]")] [Authorize] public class WeatherForecastController : ControllerBase { private static readonly string[] Summaries = new[] { "Freezing","Bracing","Chilly","Cool","Mild","Warm","Balmy","Hot","Sweltering","Scorching" }; private readonly ILogger<WeatherForecastController> _logger; public WeatherForecastController(ILogger<WeatherForecastController> logger) { _logger = logger; } [HttpGet] public IEnumerable<WeatherForecast> Get() { var rng = new Random(); return Enumerable.Range(1,5).Select(index => new WeatherForecast { Date = DateTime.Now.AddDays(index),TemperatureC = rng.Next(-20,55),Summary = Summaries[rng.Next(Summaries.Length)] }) .ToArray(); } }
支援我們可以測試驗證了,我們可以使用postman來進行http請求,先啟動http服務,獲取url,先測試一個訪問需要授權的介面,但沒有攜帶token資訊,返回是401,表示未授權
下面我們先通過認證介面,獲取token,居然報錯,查詢了下,發現HS256演算法的祕鑰長度最新為128位,轉換成字元至少16字元,之前設定的祕鑰是123456,所以導致異常。
System.ArgumentOutOfRangeException: IDX10603: Decryption failed. Keys tried: 'HS256'. Exceptions caught: '128'. token: '48' (Parameter 'KeySize') at
更新祕鑰
"tokenManagement": { "secret": "123456123456123456","refreshExpiration": 60 }
重新發起請求,成功獲取token
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDUyMDMsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.AehD8WTAnEtklof2OJsvg0U4_o8_SjdxmwUjzAiuI-o
把token帶到之前請求的api中,重新測試,成功獲取資料
總結
基於token的認證方式,讓我們構建分散式/鬆耦合的系統更加容易。任何地方生成的token,只有擁有相同祕鑰,就可以再任何地方進行簽名校驗。
當然要用好jwt認證方式,還有其他安全細節需要處理,比如palyload中不能存放敏感資訊,使用https的加密傳輸方式等等,可以根據業務實際需要再進一步安全加固!
同時我們也發現使用token,就可以擺脫cookie的限制,所以JWT是移動app開發的首選!
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支援我們。