WEB API身份驗證/token驗證
阿新 • • 發佈:2022-01-04
詳情可參考:https://www.cnblogs.com/aaron911/p/11300062.html
為什麼使用JWT?
JWT 全稱 JSON Web Tokens ,是一種規範化的 token。是對 token 這一技術提出一套規範. 隨著技術的發展,分散式web應用的普及,通過session管理使用者登入狀態成本越來越高,因此慢慢發展成為token的方式做登入身份校驗,然後通過token去取redis中的快取的使用者資訊,隨著之後jwt的出現,校驗方式更加簡單便捷化,無需通過redis快取,而是直接根據token取出儲存的使用者資訊,以及對token可用性校驗,單點登入更為簡單。這裡什麼時候你應該用JSON Web Tokens
下列場景中使用JSON Web Token是很有用的:
- Authorization(授權) : 這是使用JWT的最常見場景。一旦使用者登入,後續每個請求都將包含JWT,允許使用者訪問該令牌允許的路由、服務和資源。單點登入是現在廣泛使用的JWT的一個特性,因為它的開銷很小,並且可以輕鬆地跨域使用。
- Information Exchange(資訊交換) : 對於安全的在各方之間傳輸資訊而言,JSON Web Tokens無疑是一種很好的方式。因為JWTs可以被簽名,例如,用公鑰/私鑰對,你可以確定傳送人就是它們所說的那個人。另外,由於簽名是使用頭和有效負載計算的,您還可以驗證內容沒有被篡改
JSON Web Token的結構是什麼樣的
JSON Web Token由三部分組成,它們之間用圓點(.)連線。這三部分分別是:
- Header
- Payload
- Signature
因此,一個典型的JWT看起來是這個樣子的:
xxxxx.yyyyy.zzzzz
header典型的由兩部分組成:token的型別(“JWT”)和演算法名稱(比如:HMAC SHA256或者RSA等等)。用Base64對這個JSON編碼就得到JWT的第一部分
JWT的第二部分是payload,它包含宣告(要求)。宣告是關於實體(通常是使用者)和其他資料的宣告。宣告有三種類型: registered, public 和 private。注意,不要在JWT的payload或header中放置敏感資訊,除非它們是加密的。
Signature為了得到簽名部分,你必須有編碼過的header、編碼過的payload、一個祕鑰,簽名演算法是header中指定的那個,然對它們簽名即可。
例如:
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
簽名是用於驗證訊息在傳遞過程中有沒有被更改,並且,對於使用私鑰簽名的token,它還可以驗證JWT的傳送方是否為它所稱的傳送方。
使用JWT
1、我們開啟Nuget,搜尋JWT 安裝。
2、封裝一個jwt幫助類
public class JwtHelp { //私鑰 web.config中配置 //"GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk"; private static string secret = ConfigurationManager.AppSettings["Secret"].ToString(); /// <summary> /// 生成JwtToken /// </summary> /// <param name="payload">不敏感的使用者資料</param> /// <returns></returns> public static string SetJwtEncode(Dictionary<string, object> payload) { //格式如下 //var payload = new Dictionary<string, object> //{ // { "username","admin" }, // { "pwd", "claim2-value" } //}; IJwtAlgorithm algorithm = new HMACSHA256Algorithm(); IJsonSerializer serializer = new JsonNetSerializer(); IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder(); IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder); var token = encoder.Encode(payload, secret); return token; } /// <summary> /// 根據jwtToken 獲取實體 /// </summary> /// <param name="token">jwtToken</param> /// <returns></returns> public static dynamic GetJwtDecode(string token) { try { IJsonSerializer serializer = new JsonNetSerializer(); IDateTimeProvider provider = new UtcDateTimeProvider(); IJwtValidator validator = new JwtValidator(serializer, provider); IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder(); IJwtAlgorithm algorithm = new HMACSHA256Algorithm(); IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder, algorithm); token = token.Replace("Bearer ", ""); var userInfo = decoder.DecodeToObject<dynamic>(token, secret, verify: true);//token為之前生成的字串 return userInfo; } catch (TokenExpiredException) { Console.WriteLine("Token has expired"); //過期 return ""; } catch (SignatureVerificationException) { Console.WriteLine("Token has invalid signature"); //簽名沒有驗證 return ""; } //var json = JwtBuilder.Create() // .WithAlgorithm(new HMACSHA256Algorithm()) // symmetric // .WithSecret(secret) // .MustVerifySignature() // .Decode(token); } }
3、編寫一個繼承AuthorizeAttribute實現類
public class TokenAuthAttribute : AuthorizeAttribute { /// <summary> /// 驗證入口 /// </summary> /// <param name="actionContext"></param> public override void OnAuthorization(HttpActionContext actionContext) { //前端請求api時會將token存放在名為"AccessToken"的請求頭中 var content = actionContext.Request.Properties["MS_HttpContext"] as HttpContextBase; var token = content.Request.Headers["AccessToken"]; //自己加入在頭部的名稱 if (!string.IsNullOrEmpty(token?.ToString())) { dynamic userinfo = JwtHelp.GetJwtDecode(token); if (userinfo != null) { base.IsAuthorized(actionContext); } else HandleUnauthorizedRequest(actionContext); } else { var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>(); bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute); if (isAnonymous) base.OnAuthorization(actionContext); else HandleUnauthorizedRequest(actionContext); } } /// <summary> /// 重寫HandleUnauthorizedRequest /// </summary> /// <param name="filterContext"></param> protected override void HandleUnauthorizedRequest(HttpActionContext filterContext) { base.HandleUnauthorizedRequest(filterContext); var response = filterContext.Response = filterContext.Response ?? new HttpResponseMessage(); //狀態碼401改為其他狀態碼來避免被重定向。最合理的是改為403,表示伺服器拒絕。 response.StatusCode = HttpStatusCode.Forbidden; var content = new { success = false, errs = new[] { "服務端拒絕訪問:沒有許可權" } }; response.Content = new StringContent(Json.Encode(content), Encoding.UTF8, "application/json"); } }
4、建立一個控制器
public class JwtController : ApiController { public void CreateToken() { // 生成 token var payload = new Dictionary<string, object> { { "Id",user.Id }, { "Account",user.Account }, { "Name",user.NickName }, { "AccountType",user.AccountType }, { "exptime",secondsSinceEpoch+1 }//token過期時間 }; //返回登入結果、使用者資訊、使用者驗證票據資訊 var AccessToken = JwtHelp.SetJwtEncode(payload); } [TokenAuth]//只有加上這個才會進行token驗證,通常是放在類上面的,我放在這裡是為了測試使用。請求該方法如果請求頭不包含token,則會提示伺服器拒絕訪問 public string Test() { return "來了"; } }