NET Core API 框架实现接口的JWT授权验证

来源:在7楼

cnblogs.com/RayWang/p/9255093.html

源码已上传Github:https://github.com/WangRui321/RayPI_V2.0

一、根

根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。

JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。

JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。

以上是JWT的官方解释,可以看出JWT并不是一种只能权限验证的工具,而是一种标准化的数据传输规范。所以,只要是在系统之间需要传输简短但却需要一定安全等级的数据时,都可以使用JWT规范来传输。规范是不因平台而受限制的,这也是JWT做为授权验证可以跨平台的原因。

如果理解还是有困难的话,我们可以拿JWT和JSON类比:

JSON是一种轻量级的数据交换格式,是一种数据层次结构规范。它并不是只用来给接口传递数据的工具,只要有层级结构的数据都可以使用JSON来存储和表示。当然,JSON也是跨平台的,不管是Win还是Linux,.NET还是Java,都可以使用它作为数据传输形式。

该篇的主要目的是实战,所以关于JWT本身的优点,以及使用JWT作为系统授权验证的优缺点,这里就不细说了,感兴趣的可以自己去查阅相关资料。

1.1 在授权验证系统中,JWT是怎么工作的呢?

如果将JWT运用到Web Api的授权验证中,那么它的工作原理是这样的:

1)客户端向授权服务系统发起请求,申请获取“令牌”。

2)授权服务根据用户身份,生成一张专属“令牌”,并将该“令牌”以JWT规范返回给客户端

3)客户端将获取到的“令牌”放到http请求的headers中后,向主服务系统发起请求。主服务系统收到请求后会从headers中获取“令牌”,并从“令牌”中解析出该用户的身份权限,然后做出相应的处理(同意或拒绝返回资源)

可以看出,JWT授权服务是可以脱离我们的主服务系统而作为一个独立系统存在的。

1.2 令牌是什么?JWT就是令牌吗?

前面说了其实把JWT理解为一种规范更为贴切,但是往往大家把根据JWT规则生成的加密字符串也叫作JWT,还有人直接称呼JWT为令牌。本文为了阐述方便,特此做了一些区分:

1.2.1 JWT:

本文所说的JWT皆指的是JWT规范

1.2.2 JWT字符串:

本文所说的“JWT字符串”是指通过JWT规则加密后生成的字符串,它由三本分组成:Header(头部)、Payload(数据)、Signature(签名),将这三部分由‘.’连接而组成的一长串加密字符串就成为JWT字符串。

1)Header

由且只由两个数据组成,一个是“alg”(加密规范)指定了该JWT字符串的加密规则,另一个是“typ”(JWT字符串类型)。例如:

{

"alg": "HS256",

"typ": "JWT"

}

将这组JSON格式的数据通过Base64Url格式编码后,生成的字符串就是我们JWT字符串的第一个部分。

2)Payload

由一组数据组成,它负责传递数据,我们可以添加一些已注册声明,比如“iss”(JWT字符串的颁发人名称)、“exp”(该JWT字符串的过期时间)、“sub”(身份)、“aud”(受众),除了这些,我们还可根据需要添加自定义的需要传输的数据,一般是发起请求的用户的信息。例如:

{

“iss”:"RayPI",

"sub": "Client",

"name": "张三",

"uid": 1

}

将该JSON格式的数据通过Base64Url格式编码后,生成的字符串就是我们JWT字符串的第二部分。

3)Signature

数字签名,由4个因素所同时决定:编码后的header字符串,编码后的payload字符串,之前在头部声明的加密算法,我们自定义的一个秘钥字符串(secret)。例如:

HMACSHA256(

base64UrlEncode(header) + "." +

base64UrlEncode(payload),

secret)

所以签名可以安全地验证一个JWT的合法性(有没有被篡改过)。

最后,给一个实际生成后的JWT字符串的完整样例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJDbGllbnQiLCJqdGkiOiIwZTRjYzVkNC0yMmIzLTQwYzUtOTBjMy0wOTk0MjFjNWRjMjkiLCJpYXQiOiIyMDE4LzcvMyAyOjE3OjQ5IiwiZXhwIjoxNTMwNjI3NDY5LCJpc3MiOiJSYXlQSSJ9.98pAaDVhNwVfiSHQVeXKhYE2ML6WK_f9rYC-iwyQEpU

我们可以拿着这个JWT字符串到https://jwt.io/#debugger试着解析出前两部分的内容。

1.2.3 令牌:

本文的“令牌”指的是用于http传输headers中用于验证授权的JSON数据,它是key和value两部分组成,在本文中,key为“Authorization”,value为“Bearer ”,其中value除了JWT字符串外,还在前面添加了“Bearer ”字符串,这里可以把它理解为大家约约定俗成的规定即可,没有实际的作用。例如:

{ "Authorization": "Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJDbGllbnQiLCJqdGkiOiIwZTRjYzVkNC0yMmIzLTQwYzUtOTBjMy0wOTk0MjFjNWRjMjkiLCJpYXQiOiIyMDE4LzcvMyAyOjE3OjQ5IiwiZXhwIjoxNTMwNjI3NDY5LCJpc3MiOiJSYXlQSSJ9.98pAaDVhNwVfiSHQVeXKhYE2ML6WK_f9rYC-iwyQEpU" }

整体的思路明白了,下面实战起来就不会乱了。

二、 道

搭建完的项目架构应该是这样的:

这里有三块工作区域:

一个是RayPI.Token层,该层主要负责“令牌”的生成和存储。

还有一个是在主项目下面的AuthHelper的TokenAuth,该类为一个中间件,它被注册到客服端和接口之间,在客户端发起http请求时,这个http请求会先被传输到TokenAuth类中,然后该类经过一系列验证和操作(包括了JWT验证),决定是否对给http请求进行授权,然后将请求传递给下一个中间件。

最后一个是系统的系统类Startup.cs,我们将在这里面注册中间件,添加Authorization服务等操作。

2.1 搭建RayPI.Token 层

2.1.1 Model

在RayPI.Token层中新建一个Model文件夹,在该文件夹下新建一个TokenModel类,类的定义如下:

namespace RayPI.Token.Model

{

///

/// 令牌类

///

public class TokenModel

{

public TokenModel()

{

this.Uid = 0;

}

///

/// 用户Id

///

public long Uid { get; set; }

///

/// 用户名

///

public string Uname { get; set; }

///

/// 手机

///

public string Phone { get; set; }

///

/// 头像

///

public string Icon { get; set; }

///

/// 昵称

///

public string UNickname { get; set; }

///

/// 身份

///

public string Sub { get; set; }

}

}

该类用于存储客户端的一些基本信息,后面我们需要将它存入到系统缓存中。

2.1.2 缓存类

新建一个RayPIMemoryCache类,该类是一个系统扩展类,用于集成我们常用的对MemoryCache的操作,代码如下:

using System;

using Microsoft.Extensions.Caching.Memory;

namespace RayPI.Token

{

public class RayPIMemoryCache

{

public static MemoryCache _cache = new MemoryCache(new MemoryCacheOptions());

///

/// 验证缓存项是否存在

///

///

缓存Key

///

public static bool Exists(string key)

{

if (key == null)

{

throw new ArgumentNullException(nameof(key));

}

object cached;

return _cache.TryGetValue(key, out cached);

}

///

/// 获取缓存

///

///

缓存Key

///

public static object Get(string key)

{

if (key == null)

{

throw new ArgumentNullException(nameof(key));

}

return _cache.Get(key);

}

///

/// 添加缓存

///

///

缓存Key

///

缓存Value

///

滑动过期时长(如果在过期时间内有操作,则以当前时间点延长过期时间)

///

绝对过期时长

///

public static bool AddMemoryCache(string key, object value, TimeSpan expiresSliding, TimeSpan expiressAbsoulte)

{

if (key == null)

{

throw new ArgumentNullException(nameof(key));

}

if (value == null)

{

throw new ArgumentNullException(nameof(value));

}

_cache.Set(key, value,

new MemoryCacheEntryOptions()

.SetSlidingExpiration(expiresSliding)

.SetAbsoluteExpiration(expiressAbsoulte)

);

return Exists(key);

}

}

}

2.1.3 RayPIToken类

该类只有一个方法叫IssueJWT,我们将tokenModel传递给这个函数,它会根据tokenModel生成JWT字符串,然后将JWT字符串作为key、tokenModel作为value存入系统缓存中中。

using Microsoft.IdentityModel.Tokens;

using RayPI.Token.Model;

using System;

using System.IdentityModel.Tokens.Jwt;

using System.Security.Claims;

using System.Text;

namespace RayPI.Token

{

///

/// 令牌类

///

public class RayPIToken

{

public RayPIToken()

{

}

///

/// 获取JWT字符串并存入缓存

///

///

///

///

///

public static string IssueJWT(TokenModel tokenModel, TimeSpan expiresSliding, TimeSpan expiresAbsoulte)

{

DateTime UTC = DateTime.UtcNow;

Claim[] claims = new Claim[]

{

new Claim(JwtRegisteredClaimNames.Sub,tokenModel.Sub),//Subject,

new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),//JWT ID,JWT的唯一标识

new Claim(JwtRegisteredClaimNames.Iat, UTC.ToString(), ClaimValueTypes.Integer64),//Issued At,JWT颁发的时间,采用标准unix时间,用于验证过期

};

JwtSecurityToken jwt = new JwtSecurityToken(

issuer: "RayPI",//jwt签发者,非必须

audience: tokenModel.Uname,//jwt的接收该方,非必须

claims: claims,//声明集合

expires: UTC.AddHours(12),//指定token的生命周期,unix时间戳格式,非必须

signingCredentials: new Microsoft.IdentityModel.Tokens

.SigningCredentials(new SymmetricSecurityKey(Encoding.ASCII.GetBytes("RayPI's Secret Key")), SecurityAlgorithms.HmacSha256));//使用私钥进行签名加密

var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);//生成最后的JWT字符串

RayPIMemoryCache.AddMemoryCache(encodedJwt, tokenModel, expiresSliding, expiresAbsoulte);//将JWT字符串和tokenModel作为key和value存入缓存

return encodedJwt;

}

}

}

2.2. 搭建AuthHelp中间件

在主项目中添加文件夹AuthHelp,在文件夹下添加TokenAuth类。

该类后面我们会把它注册为中间件,用于验证并授权客户端发来的http请求。代码如下:

using Microsoft.AspNetCore.Http;

using RayPI.Token;

using RayPI.Token.Model;

using System;

using System.Collections.Generic;

using System.Security.Claims;

using System.Threading.Tasks;

namespace RayPI.AuthHelper

{

///

/// Token验证授权中间件

///

public class TokenAuth

{

///

/// http委托

///

private readonly RequestDelegate _next;

///

/// 构造函数

///

///

public TokenAuth(RequestDelegate next)

{

_next = next;

}

///

/// 验证授权

///

///

///

public Task Invoke(HttpContext httpContext)

{

var headers = httpContext.Request.Headers;

//检测是否包含'Authorization'请求头,如果不包含返回context进行下一个中间件,用于访问不需要认证的API

if (!headers.ContainsKey("Authorization"))

{

return _next(httpContext);

}

var tokenStr = headers["Authorization"];

try

{

string jwtStr = tokenStr.ToString().Substring("Bearer ".Length).Trim();

//验证缓存中是否存在该jwt字符串

if (!RayPIMemoryCache.Exists(jwtStr))

{

return httpContext.Response.WriteAsync("非法请求");

}

TokenModel tm = ((TokenModel)RayPIMemoryCache.Get(jwtStr));

//提取tokenModel中的Sub属性进行authorize认证

List lc = new List();

Claim c = new Claim(tm.Sub+"Type", tm.Sub);

lc.Add(c);

ClaimsIdentity identity = new ClaimsIdentity(lc);

ClaimsPrincipal principal = new ClaimsPrincipal(identity);

httpContext.User = principal;

return _next(httpContext);

}

catch (Exception)

{

return httpContext.Response.WriteAsync("token验证异常");

}

}

}

}

2.3 设置Startup.cs类

在ConfigureServices,我们需要注册两个服务项

1)缓存

services.AddSingleton(factory =>

{

var cache = new MemoryCache(new MemoryCacheOptions());

return cache;

});

2)认证

services.AddAuthorization(options =>

{

options.AddPolicy("System", policy => policy.RequireClaim("SystemType").Build());

options.AddPolicy("Client", policy => policy.RequireClaim("ClientType").Build());

options.AddPolicy("Admin", policy => policy.RequireClaim("AdminType").Build());

});

这里放了三个身份,System、Client和Admin,后面如果需要可以再添加。

在Configure中,需要将之前的TokenAuth类注册为中间件

app.UseMiddleware();

完整的Startup.cs代码是这样的:

using System;

using System.Collections.Generic;

using System.IO;

using System.Linq;

using System.Threading.Tasks;

using RayPI.SwaggerHelp;

using Microsoft.AspNetCore.Builder;

using Microsoft.AspNetCore.Hosting;

using Microsoft.AspNetCore.Http;

using Microsoft.Extensions.Caching.Memory;

using Microsoft.Extensions.Configuration;

using Microsoft.Extensions.DependencyInjection;

using Microsoft.Extensions.DependencyInjection.Extensions;

using Microsoft.Extensions.Logging;

using Microsoft.Extensions.Options;

using Microsoft.Extensions.PlatformAbstractions;

using RayPI.AuthHelper;

using RayPI.Token;

using Swashbuckle.AspNetCore.Swagger;

using Microsoft.AspNetCore.StaticFiles;

namespace RayPI

{

///

///

///

public class Startup

{

///

///

///

///

public Startup(IConfiguration configuration)

{

Configuration = configuration;

}

///

///

///

public IConfiguration Configuration { get; }

///

/// This method gets called by the runtime. Use this method to add services to the container.

///

///

public void ConfigureServices(IServiceCollection services)

{

services.Configure>(Configuration.GetSection("Mime"));

services.AddMvc().AddJsonOptions(options =>

{

options.SerializerSettings.DateFormatString = "yyyy-MM-dd HH:mm:ss";//设置时间格式

});

#region Swagger

services.AddSwaggerGen(c =>

{

c.SwaggerDoc("v1", new Info

{

Version = "v1.1.0",

Title = "Ray WebAPI",

Description = "框架集合",

TermsOfService = "None",

});

//添加注释服务

var basePath = PlatformServices.Default.Application.ApplicationBasePath;

var xmlPath = Path.Combine(basePath, "APIHelp.xml");

c.IncludeXmlComments(xmlPath);

//添加对控制器的标签(描述)

c.DocumentFilter();

//添加header验证信息

//c.OperationFilter();

var security = new Dictionary> { { "Bearer", new string[] { } }, };

c.AddSecurityRequirement(security);//添加一个必须的全局安全信息,和AddSecurityDefinition方法指定的方案名称要一致,这里是Bearer。

c.AddSecurityDefinition("Bearer", new ApiKeyScheme

{

Description = "JWT授权(数据将在请求头中进行传输) 参数结构: \"Authorization: Bearer \"",

Name = "Authorization",//jwt默认的参数名称

In = "header",//jwt默认存放Authorization信息的位置(请求头中)

Type = "apiKey"

});

});

#endregion

#region Token

services.AddSingleton(factory =>

{

var cache = new MemoryCache(new MemoryCacheOptions());

return cache;

});

services.AddAuthorization(options =>

{

options.AddPolicy("System", policy => policy.RequireClaim("SystemType").Build());

options.AddPolicy("Client", policy => policy.RequireClaim("ClientType").Build());

options.AddPolicy("Admin", policy => policy.RequireClaim("AdminType").Build());

});

#endregion

}

///

/// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

///

///

///

public void Configure(IApplicationBuilder app, IHostingEnvironment env)

{

if (env.IsDevelopment())

{

app.UseDeveloperExceptionPage();

}

#region Swagger

app.UseSwagger();

app.UseSwaggerUI(c =>

{

c.SwaggerEndpoint("/swagger/v1/swagger.json", "ApiHelp V1");

});

#endregion

#region TokenAuth

app.UseMiddleware();

#endregion

app.UseMvc();

app.UseStaticFiles();//用于访问wwwroot下的文件

}

}

}

Tips:

这里有一个坑,不太了解依赖注入和中间件的人很容易踩到(其实就是我自己了)

在Startup.cs的Configure函数中,里面每个app.UseXXXXX();是有一定顺序。可以理解为,这里添加中间件的顺序就是客户端发起http请求时所经过的顺序。

之前我因为把“app.UseMvc();”写到了“app.UseMiddleware();”上面去了,结果导致怎么Debug都找不到问题。。。

三、果

搭建完成之后,下面就是测试了。

选择一个测试控制器,在其头上标注[Authorize]属性

然后在TokenAuth的Invoke函数下添加一个断点,在我们调用接口发起http请求后,应该会先命中这个断点,在处理了授权验证之后才会进入我们的接口中。

F5运行,在swagger ui中调用一个需要授权验证的接口(根据Id获取学生信息)

输入1,先不进行任何授权认证的操作,直接点击Excute尝试调用,系统命中Invoke函数下的断点,放行,返回结果如下:

状态码500,还返回了一大段html代码,我们可以将接口的完整地址输入到浏览器地址栏进行访问,就可以看到这段html代码的页面了:

可以看到接口返回了一个错误页,原因就是因为该接口加了授权验证之后,中间件TokenAuth会在http请求的头部(headers)中寻找“Authorization"字段里的”令牌“,因为我们没有向接口递送”令牌“,所以系统就会拒绝我们访问该接口。

现在,我们先调用获取JWT接口(实际项目中不应该有该接口,分发令牌的功能应该集成到登陆功能中,但是这里为了简单直观,我将分发令牌的功能直接写成了接口,以供测试),输入相应的客户端信息,Excute:

接口会生成”令牌“,并将令牌存入系统缓存的同时,返回JWT字符串:

我们要复制这串JWT字符串,然后将其添加到http请求的Headers中去。测试方法有两个:

1)可以新建一个html页面,模拟前端写个ajax调用接口,在ajax添加headers字段,如下:

$.ajax({

url: "http://localhost:3608/api/Admin/Student/1",

type: ”get“,

dataType: "json",

//data: {},

async: false,

//手动高亮

headers: { "Authorization": "Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJBZG1pbiIsImp0aSI6IjhjMDEwMzI2LTE4M2MtNGQ5ZC1iMDFjLWFjM2EzNTIzODYxOCIsImlhdCI6IjIwMTgvNy8yIDE1OjAzOjQ4IiwiZXhwIjoxNTMwNTg3MDI4LCJpc3MiOiJSYXlQSSJ9.1Bb7hwoDD12n8ymcQsu79Xm-GDq14GERhS9b-1l1kmg" },

success: function (d) {

alert(JSON.stringify(d));

},

error: function (d) {

alert(JSON.stringify(d))

}

});

2)如果你的swagger像我一样,集成了添加Authrize头部功能,那么可以点击这个按钮进行添加。

这里除了JWT字符串外,前面还需要手动写入“Bearer ”(有一个空格)字符串。点击Authorize保存"令牌"。

再次调用刚才的”根据id获取学生信息“接口,发现获取成功:

可以看到swagger向http请求的headers中添加了我们刚才保存的”令牌“。

看完本文有收获?请转发分享给更多人

关注「DotNet」,提升.Net技能

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180705B0MT1000?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券