JWT(JSON Web Token)
-
什么叫JWT
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。一般来说,互联网用户认证是这样子的。
1、用户向服务器发送用户名和密码。
2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。
3、服务器向用户返回一个 session_id,写入用户的 Cookie。
4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。
5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。服务器需要保存session,做持久化,这种模式没有分布式架构,无法支持横向扩展,如果真的要的话就必须采用分布式缓存来进行管理Seesion。那JWT相反,它保存的是在客户端,每次请求都将JWT代入服务器,进行签名,权限验证。JWT由客户端请求,服务端生成,客户端保存,服务端验证。
-
JWT的原理与格式
-
原理
在上面,我们也讲过了,简单的来说,我们将服务器需要验证我们的条件(账户,密码等等),发给服务器,服务器认证通过,生成一个JSON对象返回给我们,例如下面。当然,为了防止被篡改,所以我们会将对象加密,再次请求服务器,需要将jwt放在请求头部,传递给服务器,来判断权限等等。- {
- "姓名": "张三",
- "角色": "管理员",
- "到期时间": "2018年7月1日0点0分"
- }
-
格式
- 实际格式
- eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
- eyJBIjoiQUFBQSIsIkIiOiJCQkJCIiwiQyI6IkNDQ0MiLCJ1ZXIiOiJ4dWh1YWxlIiwib3BlbmlkIjoiNTE1NjEzMTM1MTYzMjEiLCJmZiI6ImRmc2RzZGZzZGZzZHMiLCJuYmYiOjE1NTIyMTE4NjAsImV4cCI6MTU1MjIxMzY2MH0.
- 16m57YnnIcgIth25dwphQKPYuIq42BVmZV6LIBO7KDg
它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT内部是没有换行的,这里只是为了便于展示,将它写成了几行。JWT 的三个部分依次如下。
- Header(头部)
- Payload(负载)
- Signature(签名)
简单讲下,
Header
描述加密算法与token类型,Payload
描述的是实际需要传递的数据,如失效时间,签发人等等,Signature
描述的是一段对于前面两部部分的签名,当然秘钥只有服务器才知道。
-
简单的介绍下JWT,更多的话,可以这边文章看看。我们着重讲下实现。
ASP.NET Core 的Middleware实现
-
创建JWT
首先我们要先创建token,毕竟这个是最重要的。Core自带JWT帮助类,所以我们按照帮助类的意思来写个方法创建token。- public string CreateJsonWebToken(Dictionary<string, string> payLoad)
- {
- if (string.IsNullOrWhiteSpace(setting.SecurityKey))
- {
- throw new ArgumentNullException("JsonWebTokenSetting.securityKey",
- "securityKey为NULL或空字符串。请在"appsettings.json"配置"JsonWebToken"节点及其子节点"securityKey"");
- }
- var now = DateTime.UtcNow;
- // Specifically add the jti (random nonce), iat (issued timestamp), and sub (subject/user) claims.
- // You can add other claims here, if you want:
- var claims = new List<Claim>();
- foreach (var key in payLoad.Keys)
- {
- var tempClaim = new Claim(key, payLoad[key]?.ToString());
- claims.Add(tempClaim);
- }
- // Create the JWT and write it to a string
- var jwt = new JwtSecurityToken(
- issuer: null,
- audience: null,
- claims: claims,
- notBefore: now,
- expires: now.Add(TimeSpan.FromMinutes(setting.ExpiresMinute)),
- signingCredentials: new SigningCredentials(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(setting.SecurityKey)), SecurityAlgorithms.HmacSha256));
- var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);
- return encodedJwt;
- }
从方法我们看到,我们传入的是负载这个片段,而失效时间与秘钥我们是放在了
appsettings.json
来进行配置的。使用DI来获取配置文件中的节点值。 -
编写中间件
我们都知道,中间件是Core的管道模型组成部分,所以我们在中间件做验证,来判断每次请求用户是有有权限是有该WebApi或者其他API。- 中间件
- public JwtCustomerAuthorizeMiddleware(RequestDelegate next, IOptions<JsonWebTokenSetting> options, IJsonWebTokenValidate jsonWebTokenValidate, Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad, List<string> anonymousPathList)
- {
- this._next = next;
- this._setting = options.Value;
- this._jsonWebTokenValidate = jsonWebTokenValidate;
- this._validatePayLoad = validatePayLoad;
- this._anonymousPathList = anonymousPathList;
- }
- public async Task Invoke(HttpContext context)
- {
- //JsonWebTokenValidate
- //若是路径可以匿名访问,直接跳过
- if (_anonymousPathList.Contains(context.Request.Path.Value))
- {
- //还未验证
- await _next(context);
- return;
- }
- var result = context.Request.Headers.TryGetValue("Authorization", out StringValues authStr);
- if (!result || string.IsNullOrEmpty(authStr.ToString()))
- {
- throw new UnauthorizedAccessException("未授权,请传递Header头的Authorization参数。");
- }
- //进行验证与自定义验证
- result = _jsonWebTokenValidate.Validate(authStr.ToString().Substring("Bearer ".Length).Trim()
- , _setting, _validatePayLoad);
- if (!result)
- {
- throw new UnauthorizedAccessException("验证失败,请查看传递的参数是否正确或是否有权限访问该地址。");
- }
- await _next(context);
- }
从代码来看,
anonymousPathList
是URL路径,若是在这个List
内的URL,便可直接跳过验证,
接着将authStr
token代入验证函数,validatePayLoad
却是我们自代入的委托函数,用于服务器自定义验证。- 验证
验证方法,我只是做了签名验证与时间验证。并没有定得死死的,让用户自由度的去进行验证。- public bool Validate(string encodeJwt, JsonWebTokenSetting setting, Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad)
- {
- if (string.IsNullOrWhiteSpace(setting.SecurityKey))
- {
- throw new ArgumentNullException("JsonWebTokenSetting.securityKey",
- "securityKey为NULL或空字符串。请在"appsettings.json"配置"JsonWebToken"节点及其子节点"securityKey"");
- }
- var success = true;
- var jwtArr = encodeJwt.Split('.');
- var header = JsonConvert.DeserializeObject<Dictionary<string, string>>(Base64UrlEncoder.Decode(jwtArr[0]));
- var payLoad = JsonConvert.DeserializeObject<Dictionary<string, string>>(Base64UrlEncoder.Decode(jwtArr[1]));
- var hs256 = new HMACSHA256(Encoding.ASCII.GetBytes(setting.SecurityKey));
- //首先验证签名是否正确(必须的)
- success = success && string.Equals(jwtArr[2], Base64UrlEncoder.Encode(hs256.ComputeHash(Encoding.UTF8.GetBytes(string.Concat(jwtArr[0], ".", jwtArr[1])))));
- if (!success)
- {
- return success;//签名不正确直接返回
- }
- //其次验证是否在有效期内(也应该必须)
- var now = ToUnixEpochDate(DateTime.UtcNow);
- success = success && (now >= long.Parse(payLoad["nbf"].ToString()) && now < long.Parse(payLoad["exp"].ToString()));
- //再其次 进行自定义的验证
- success = success && validatePayLoad(payLoad, setting);
- return success;
- }
- 中间件
-
加载中间件
- 使用扩展方法,来封装中间件
- public static IApplicationBuilder UseJwtCustomerAuthorize(this IApplicationBuilder app, Action<IJwtCustomerAuthorezeOption> action)
- {
- var _JwtCustomerAuthorezeOption = app.ApplicationServices.GetService<IJwtCustomerAuthorezeOption>() as JwtCustomerAuthorezeOption; //new JwtCustomerAuthorezeOption();
- action(_JwtCustomerAuthorezeOption);
- return app.UseMiddleware<JwtCustomerAuthorizeMiddleware>(_JwtCustomerAuthorezeOption.validatePayLoad, _JwtCustomerAuthorezeOption.anonymousPath);
- }
- 在
Startup.cs
使用
- 注册服务
- public void ConfigureServices(IServiceCollection services) {
- services.AddJwt(Configuration);}
- 使用中间件
- public void Configure(IApplicationBuilder app, IHostingEnvironment env)
- {
- app.UseJwtCustomerAuthorize(option =>
- {
- //设置不会被验证的url,可以使用链式调用一直添加
- option.SetAnonymousPaths(new System.Collections.Generic.List<string>()
- {
- // "/",
- "/Home/Privacy",
- "/Home/CreateJsonToken"
- });
- // 自定义验证函数,playLoad为带过来的参数字典,setting为失效时间与秘钥
- option.SetValidateFunc((playLoad, sertting) =>
- {
- return true;
- });
- });
- }
总结下,通过上面,就完成了JWT在ASP.NET Core使用中间件的方式的实现。简单来说就是用自带方法创建token,验证则使用中间件的形式,每次请求都需要进行验证当然你可以设置特殊URL。在下篇文章我们来讲讲使用策略模式的JWT实现。