JWT(Json Web Token)
什么是JWT,它是一种对API的保护方案,为什么要进行保护呢
- 防泄漏:你肯定不希望你的数据能被别人随意调用,比如公司的机密信息,不可能每个人都可以访问到
- 防攻击:防止被人伪装恶意调用接口,利用网关就把请求拦截在外面,防止对服务器造成资源压力
- 防止被人篡改,导致请求不到信息,防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放)
设计原则
- 轻量级
- 易于开发、测试和部署
- 适合于异构系统(跨操作系统、多语言简易实现)
- 所有写操作接口(增、删、改 操作)
- 非公开的读接口(如:涉密/敏感/隐私 等)
JWT核心知识
claim:claim就是声明,就像身份证上的地址,个人信息
Httpcontext是如何通过claim鉴权的:我们去办业务的时候,需要出示自己的身份证,这个身份证就相当于自己的令牌进行访问
JWT由三部分组成
第一部分是头部,头部分为两部分(Header)
- 算法、声明
- 类型type:JWT类型
第二部分是载荷相当于HTML中的body(Payload)
第三部分就是签名也是就是密钥(Signature)
基于.NetCore WebApi创建一个简单的token令牌
public ActionResult<IEnumerable<string>>Get() { //创建声明Token数组 var claim =newClaim[] { newClaim(ClaimTypes.Name,"ylc"), newClaim(JwtRegisteredClaimNames.Email,"1234567@11.com"), newClaim(JwtRegisteredClaimNames.Sub,"Sub") }; //实例化一个token对象 var token =newJwtSecurityToken(claims:claim); //生成token var jwtToken =newJwtSecurityTokenHandler().WriteToken(token); returnnewstring[]{ jwtToken }; }
启动项目之后我们会得到一个token令牌
粘贴到jwt官网中可以解密,下面介绍了另一种解密方法
token令牌分为两部分,红色部分解析出来代表头部,粉色代表载荷,我们探入的信息
虽然得到令牌,但是头部的加密算法显示none,也没有数字签名,所以下面显示无效签名
到底这个加密算法怎么配置呢,接下来进行扩展
通过查看实例化token的函数发现它有五个重写的构造函数
publicJwtSecurityToken(string issuer =null, string audience =null, IEnumerable<Claim> claims =null, DateTime? notBefore =default(DateTime?), DateTime? expires =default(DateTime?), SigningCredentials signingCredentials =null) { if(expires.HasValue && notBefore.HasValue && notBefore >= expires) { throw LogHelper.LogExceptionMessage(newArgumentException(LogHelper.FormatInvariant("IDX12401: Expires: '{0}' must be after NotBefore: '{1}'.", expires.Value, notBefore.Value))); } Payload =newJwtPayload(issuer, audience, claims, notBefore, expires); Header =newJwtHeader(signingCredentials); RawSignature = string.Empty; }
我们就声明五个参数
[HttpGet] public ActionResult<IEnumerable<string>>Get() { //创建声明Token数组 var claim =newClaim[] { newClaim(ClaimTypes.Name,"ylc"), newClaim(JwtRegisteredClaimNames.Email,"1234567@11.com"), newClaim(JwtRegisteredClaimNames.Sub,"Sub") }; var key =newSymmetricSecurityKey(Encoding.UTF8.GetBytes("yanglingcong@qq.com"));//密钥大小要超过128bt,最少要16位 //实例化一个token对象 var token =newJwtSecurityToken( issuer:"http://localhost:5000",//发起人:当前项目 audience:"http://localhost:5000",//订阅:我们需要谁去使用这个Token claims: claim,//声明的数组 expires:DateTime.Now.AddDays(1),//当前时间加一小时,一小时后过期 signingCredentials:newSigningCredentials(key,SecurityAlgorithms.HmacSha256)//数字签名 第一部分是密钥,第二部分是加密方式 ); var jwtToken =newJwtSecurityTokenHandler().WriteToken(token); returnnewstring[]{ jwtToken }; }
可能会出现一下报错:IDX10603: Decryption failed. Keys tried: '[PII is hidden]'. Exceptions caught: '[PII is hidden]'. token: '[PII is hidden]' Parameter name: KeySize
安装最新版Microsoft.IdentityModel.Logging nuget包
最后成功运行,加密算法已经显示出HS256
但是最下方还是显示数字签名无效,还要怎么做呢
我们对令牌解密不一定要看官网通过浏览器控制台打印出来也可以
将令牌的一部分放入atob中就可以进行解密
相信做完这些对JWT的三大部分有了一定的了解
声明Claim的两种方式
开始在声明Claim的时候用到了ClaimTypes和JwtRegisteredClaimNames这两种
var claim =newClaim[] { newClaim(ClaimTypes.Name,"ylc"), newClaim(JwtRegisteredClaimNames.Email,"1234567@11.com"), newClaim(JwtRegisteredClaimNames.Sub,"Sub") };
F12查看ClaimTypes源码里面写的都是.net Core中提供的常用的静态变量
查看JwtRegisteredClaimNames源码都是JWT自己提供的
但是可能有人想获取令牌中的Email的值,获取不到
接下来就说到获取令牌的三种方式,在这之前要使用http进行上下文注入
[HttpGet("{str}")] public ActionResult<IEnumerable<string>>Get(string str) { ///获取Token的三种方式 //第一种直接用JwtSecurityTokenHandler提供的read方法 var jwtHander =newJwtSecurityTokenHandler(); JwtSecurityToken jwtSecurityToken = jwtHander.ReadJwtToken(str); //第二种 通过User对象获取 var sub = User.FindFirst(d => d.Type =="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name")?.Value; //第三种 通过Httpcontext上下文中直接获取 var name = _accessor.HttpContext.User.Identity.Name; var Claims = _accessor.HttpContext.User.Claims; var claimstype =(from item in Claims where item.Type == JwtRegisteredClaimNames.Email select item.Value).ToList(); returnnewstring[]{ JsonConvert.SerializeObject(jwtSecurityToken), sub, name, JsonConvert.SerializeObject(claimstype)}; }
然后在postman进行测试,路径后面传入Token令牌,传入的Token的string参数实际是为了方法一,第二三种是没有调用str的,所以它们为空跟Token没有任何关系
除了第一种JwtSecurityTokenHandler获取的值不为空,其他都为空这是为什么呢
刚刚只是生成了令牌并没有出现内存中,也就是在http上下文中,下面就是要说到HttpContext是如何鉴权的
首先我们必须在服务里注册一个Bealer认证,也就是说我们必须注册一个认证才可以获取内容
如何进行 Jwt Bealer认证呢,需要在配置服务的做相应的配置
之前在声明Token的时候指明了发起人订阅人,这里也要对应上,就相当于解密的过程
publicvoidConfigureServices(IServiceCollection services) { services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2); services.AddSingleton<IHttpContextAccessor,HttpContextAccessor>(); var keyBase64 ="yanglingcong@qq.com"; var keyByeArray = Encoding.ASCII.GetBytes(keyBase64); var signkey =newSymmetricSecurityKey(keyByeArray); var tokenValidationParameters =newTokenValidationParameters//生成了一个Token验证的参数 { ValidateIssuerSigningKey =true, IssuerSigningKey = signkey,//数字签名 ValidateIssuer =true, ValidIssuer ="http://localhost:5000",//发行人 ValidateAudience =true, ValidAudience ="http://localhost:5000",//订阅人 ValidateLifetime =true, ClockSkew = TimeSpan.FromSeconds(30), RequireExpirationTime =true, }; services.AddAuthentication("Bearer")//注入服务 1.开启Bearer认证 2.注册Bearer服务 .AddJwtBearer(o => { o.TokenValidationParameters = tokenValidationParameters; }); }
完成Bearer以后,我们再进行postman测试,第二种第三种还是为空,这是什么原因呢
我们通过三步创建令牌之后,通过注入完成我们的认证,还需要开启中间件管道,如果不开启的话,Token令牌还是不能传送到HttpContext上下文,中间件实际就是操作Http上下文。
app.UseAuthentication();//开启中间件
还差最后一步就是登录,只有登录认证了Bearer才能将Token转化成相应的服务
服务对象在经过中间件的时候添加到HttpContext中,然后赋值给User
通过登录生成Token令牌,返回给客户端,客户端拿着Token,放在header里面,传输给服务器进行校验,校验成功返回数据
返回了三个参数,最后一个还是空
通过项目调试,发现我们之前的Email参数被改名了,原本是JwtRegisteredClaimNames变成了ClaimTypes的声明方法,这就需要解除,.NetCore自己的映射匹配,使用JWT,在ConfigureServices加上
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();//把 JwtSecurityToken清除
显示成功
我们在当前GET方法中进行测试加上 [Authorize],把Authorization取消勾选,运行
得到401无状态,我们再把钩点上,成功授权