【译】使用Jwt身份认证保护 Asp.Net Core Web Api
原文出自Rui Figueiredo的博客,原文链接《Secure a Web Api in ASP.NET Core》
摘要:这篇文章阐述了如何使用 Json Web Token (Jwt)方式 来配置身份验证中间件。这种方式十分适合移动App 后端等不使用cookie的后端程序。
网络上有许多资源可以教你如何保护ASP.NET Core Web应用程序。我写过一些,例如 ASP.NET Core Identity From Scratch , External Login Providers in ASP.NET Core and Facebook Authentiation with ASP.NET Core.
不过对于保护Asp.Net WebApi,网络上有用的信息似乎不多。所以在这篇博文中,我将介绍如何使用Json Web Tokens(JWT)来保护ASP.NET Core中的Web Api。我在github中有一个演示项目,你可以照着它来做。
使用token替代cookie
在一个Web应用程序中,如果你不打算使用供应外部调用(例如一个移动应用程序)的API,那么它通常使用一个cookie来表示一个已经登录的用户。
一般的流程是:用户单击登录,进入登录页面,输入有效凭证后,服务器发送给用户浏览器的响应包含一个带有加密信息的 Set-Cookie
头。
cookie会被设置上domain 例如 blinkingcaret.com,每次浏览器向这个domain发送请求时,设置在这个domain上的cookie也会被带上。
在服务器上,cookie将被解密,然后使用解密后的内容来创建用户的 Identity
。
如果客户端是一个浏览器,这种方式将会非常非常适合。不过当我们的客户端是一个移动应用程序时候,那就另当别论了。
JWT
我们可以使用什么来代替cookie呢?没错就是token。token也代表用户,但是当我们使用它的时候,我们不再依赖于浏览器的内置机制以及用它和cookie打交道。
我们必须明确地向服务器要一个token,我们自己将它存储在某个地方,然后在每个请求发送时手动带上它。有一些方法可以使这个尽可能简单快捷,我会在后面讨论其中的一些方法。
我将在这里讨论的token格式是JWT。
JWT代表Json Web Token。JWTtoken具有以下格式 base64-encoded-header.base64-encoded-payload.signature
。
一个heder的例子是
{“alg”: “HS265”,“typ”: “JWT”
}
payload包含一系列 claims,例如:
{"name": "Rui","admin": true}
最后,通过采用“base64(header).base64(payload)”创建签名,并使用头部指定的算法对签名其进行加密。例如 HMAC-SHA256。签名部分会用到一个存储在server上的密钥,这个密钥是不会发给客户端的。
下面是一个真正的JWT的例子:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoicnVpIiwic3ViIjoidGVzdCIsIm5iZiI6MTUwMzYxNDU4NSwiZXhwIjoxNTA2MDMzNzg1LCJpc3MiOiJibGlua2luZ2NhcmV0IHN0cyIsImF1ZCI6ImJsaW5raW5nY2FyZXQgYXBwIn0.F7PFoYcQXez3zV98BFKLpyON6d_1p-6IAeihZRSv0VM
你必须注意的是,JWT中包含的信息没有加密。为了获得有效payload,你只需要base64解码。你甚至可以从你的开发者工具控制台(例如在Chrome中)这样做。使用atob方法并将payload作为参数传递。你会得到解密后的JSON 。signature只能保证如果有人篡改了payload,那么signature将会失效。如果有人想成功替换有效载荷并生成有效的token,他们需要知道签名中使用的密钥,但是该密钥永远不会被发送到客户端。
所以,当你想往payload里放一些东西的时候,你一定要知道上面这些
译者注:就是不要把敏感信息放在payload里,比如:密码。
在 ASP.NET Core 中使用JWT
要在ASP.NET Core中使用JWT,我们需要知道如何手动创建JWTtoken,如何验证它们以及如何创建端点以便客户端应用程序可以获得它们。
如何创建JWTtoken
首先你需要安装nuget包System.IdentityModel.Tokens.Jwt
:
$ dotnet add package System.IdentityModel.Tokens.Jwt
然后创建一个密钥。我们将使用 symmetric key
(译者注:对称密钥),代码如下:
var secretKey = new SymmetricSecurityKey(Endoding.UTF8.GetBytes("a secret that needs to be at least 16 characters long"));
译者注:a secret that needs to be at least 16 characters long=>一个至少需要16个字符的密码,在验证签名时还会用到。
我们的token将包含一组claims。所以让我们创建它们:
var claims = new Claim[] { new Claim(ClaimTypes.Name, "John"), new Claims(JwtRegisteredClaimNames.Email, "john.doe@blinkingcaret.com")
}
我已经使用了两种claim类型 :
ClaimTypes(System.Security.Claims)
JwtRegisteredClaimNames(System.IdentityModel.Tokens.Jwt)
要强调的是JwtRegisteredClaimNames包含在JWT RFC中列举的claims中。如果你打算使用不同编程语言或者框架生成的token,那么为了兼容性,你应该尽可能的使用这个。不过,有一些声明类型可以在ASP.NET中启用某些功能。例如,ClaimTypes.Name 是用户名(User.Identity.Name)的默认声明类型。另一个例子是ClaimTypes.Role,如果你在Authorize属性中使用Roles属性(例如[Authorize(Roles =“Administrator”)]),这个声明将会被检查用来确认权限。
在创建我们想要在token中编码的claims列表之后,我们可以创建token本身,代码如下:
var token = new JwtSecurityToken( issuer: "your app", audience: "the client of your app", claims: claims, notBefore: DateTime.Now, expires: DateTime.Now.AddDays(28), signingCredentials: new SigningCredentials(key, SecurityAlgorithms.HmacSha256)
);
这里有一些我之前没有提到的概念,即发issue,audience和expiration dates。
译者注: 发行者,受众/听众,过期时间
发行者表示生成token的实体,在这个例子里它是ASP.NET Core Web应用程序。audience代表将要使用这些token的实体,例如 client。如果你依靠第三方创建token(不是现在所要用到的),这个issue和audience是重要的。验证token时,你可以验证issue和audience。
notBefore 和 expire 定义了 token的有效时间区间,在notBefore之后expire之前。
最后在signedCredentials中指定使用哪个安全密钥和什么算法来创建签名。在这个例子中我们使用了HMAC-SHA256。
如果你不关心issue和audience(在JWT规范中是可选的),你可以使用接受JwtSecurityHeader和JwtSecurityPayload的JwtSecurityToken的更简单的构造函数重载。不过你必须手动将expires和notBefore声明添加到有效内容中,例如:
var claims = new Claim[] { new Claim(ClaimTypes.Name, "John"), new Claims(JwtRegisteredClaimNames.Email, "john.doe@blinkingcaret.com"), new Claim(JwtRegisteredClaimNames.Exp, $"{new DateTimeOffset(DateTime.Now.AddDays(1)).ToUnixTimeSeconds()}"), new Claim(JwtRegisteredClaimNames.Nbf, $"{new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds()}")
}var token = new JwtSecurityToken(new JwtHeader(new SigningCredentials(key, SecurityAlgorithms.HmacSha256)), new JwtPayload(claims));
请注意Exp(expires)和Nbf(notBefore)声明的值是一个Unix时间的字符串。将DateTime
转换为该格式的最简单方法是使用DateTimeOffset
。
在创建JwtSecurityToken的实例后,实际生成token的方法是调用JwtSecurityTokenHandler实例的WriteToken方法,并将JwtSecurityToken作为参数传递:
string jwtToken = new JwtSecurityTokenHandler().WriteToken(token);
创建获取token的端点
现在我们知道如何创建我们的JWT token了,我们还需要一种方法来让客户端获得它们。最简单的方法是创建一个期望发布请求的web api controller action 接受一个Post请求,例如下面的代码:
public class TokenController : Controller{[Route("/token")][HttpPost] public IActionResult Create(string username, string password) { if (IsValidUserAndPasswordCombination(username, password)) return new ObjectResult(GenerateToken(username)); return BadRequest();}//...
在IsValidUserAndPasswordCombination
中,你可以来验证用户的凭据例如使用例如ASP.NET Identity(如果你需要参考资料来学习ASP.NET Identity,你可以看这篇博客 ASP.NET Identity Core From Scratch)。
GenerateToken
我们刚刚在上一节中描述过。
验证用户,并使其登陆
现在我们有了一种发行token的方法,我们还需要一种方法来验证它们。我们将使用ASP.NET Core的身份验证中间件,并将其配置为可接受JWT token。
将Microsoft.AspNetCore.Authentication.JwtBearer
NuGet包添加到你的项目。
$ dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer
接下来打开Startup.cs并更新ConfigureServices方法:
public void ConfigureServices(IServiceCollection services){ //...services.AddAuthentication(options => {options.DefaultAuthenticateScheme = "JwtBearer";options.DefaultChallengeScheme = "JwtBearer"; }).AddJwtBearer("JwtBearer", jwtBearerOptions =>{ jwtBearerOptions.TokenValidationParameters = new TokenValidationParameters{ ValidateIssuerSigningKey = true,IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your secret goes here")),ValidateIssuer = true,ValidIssuer = "The name of the issuer",ValidateAudience = true,ValidAudience = "The name of the audience",ValidateLifetime = true, //validate the expiration and not before values in the tokenClockSkew = TimeSpan.FromMinutes(5) //5 minute tolerance for the expiration date};});
}
如果你不熟悉ASP.NET Core的身份验证中间件,则建议你阅读External Login Providers in ASP.NET Core。
即使是关于如何使用Google,Facebook等进行外部登陆提供程序登录,但是这篇博客也含有有关身份验证中间件如何工作的详细说明。
此外请注意,这是新的ASP.NET Core 2.0语法,其中通过ConfigureServices方法完全配置了身份验证,但概念是相同的。
译者注:External Login Providers in ASP.NET Core这篇博客在撰写的时候使用的是 Asp.Net Core 1.x。
在这个例子中更重要的是 TokenValidationParameters
类。这是你必须实例化的类,它将用来配置如何验证token。
在Startup.cs中,你需要更新Configure方法并添加身份验证中间件:
public void Configure(IApplicationBuilder app, IHostingEnvironment env){ //...app.UseAuthentication(); //needs to be up in the pipeline, before MVC//...app.UseMvc(ConfigureRoutes);//..
Client 客户端
web api客户端可以是桌面应用程序,移动设备甚至是浏览器。我将要描述的例子是Web应用程序的登录、保存token、然后使用它来执行对请求的认证。你可以在这里找到一个可以正常工作的例子。
首先,为了能够登陆,你需要将用户名和密码发送POST请求到“/ token”(或者你设置的获取token的Web Api断点)。你可以很容易地使用jQuery来做到这一点:
$.post("/token", $.param({username: "the username", password: "the password"})).done(function(token){ //save the token in local storagelocalStorage.setItem("token", token); //...}).fail(handleError);
如果一切顺利,则可以将获得JWT token,然后你可以将其保存在某个位置,通常在Web应用程序中,我们将它保存到 local storage 中。在移动设备上则取决于你使用的平台,但它们都具有允许你保存token的功能(例如Android的SharedPreferences)。
对于上一节中的身份验证中间件,接受JWT token并将其转换为可以在控制器操作中访问的User,则该请求必须具有 Authorization header。header的值应该是“Bearer ”,然后是JWT token,例如:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1l...
尽管你可以“手动”将授权标头添加到每个请求,但通常有自动执行的方法。例如jQuery中有一个时间可以允许你在发送请求之前做一些操作,例如在这里检查是否存在 token,如果有就加到Authentication头里。
$.ajaxSetup({beforeSend: function(xhr) { if (localStorage.getItem("token") !== null) {xhr.setRequestHeader('Authorization', 'Bearer ' + localStorage.getItem("token")); }}
});
如果你使用其他框架,也有类似的机制,例如Angular有HttpInterceptors。
最后,你只需要从本地存储中删除token即可注销:
localStorage.removeItem("token")
需要注意的一件事情是,如果客户端执行的操作需要用户进行身份验证,并且请求中没有(有效)授权标头,则服务器将返回带有401状态码的响应。该响应还将具有WWW-Authenticate:Bearer header。如果你收到这样的响应,则你可以通知用户需要验证身份。
原文:http://www.cnblogs.com/rocketRobin/p/8058760.html
.NET社区新闻,深度好文,欢迎访问公众号文章汇总 http://www.csharpkit.com
【译】使用Jwt身份认证保护 Asp.Net Core Web Api相关推荐
- 用JWT来保护我们的ASP.NET Core Web API
在用Middleware给ASP.NET Core Web API添加自己的授权验证 中,自己动手写了一个Middleware来处理API的授权验证,现在就采用另外一种方式来处理这个授权验证的问题,毕 ...
- 【壹刊】Azure AD 保护的 ASP.NET Core Web API (下)
一,引言 上一节讲到如何在我们的项目中集成Azure AD 保护我们的API资源,以及在项目中集成Swagger,并且如何把Swagger作为一个客户端进行认证和授权去访问我们的WebApi资源的?本 ...
- 保护我方Id | ASP.NET Core Web API使用加密Id
前言 上次,我们介绍了hashids.net,可以将数值型Id加密成无意义的字符串,但是通过这些字符串又可以反向映射出真实的Id以供内部使用.比如B站的播放链接https://www.bilibili ...
- [译]ASP.NET Core Web API 中使用Oracle数据库和Dapper看这篇就够了
园子里关于ASP.NET Core Web API的教程很多,但大多都是使用EF+Mysql或者EF+MSSQL的文章.甚至关于ASP.NET Core Web API中使用Dapper+Mysql组 ...
- 重温.NET下Assembly的加载过程 ASP.NET Core Web API下事件驱动型架构的实现(三):基于RabbitMQ的事件总线...
重温.NET下Assembly的加载过程 最近在工作中牵涉到了.NET下的一个古老的问题:Assembly的加载过程.虽然网上有很多文章介绍这部分内容,很多文章也是很久以前就已经出现了,但阅读之后发现 ...
- ASP.NET Core Web API 与 SSL
SSL 一直没有真正研究过SSL,不知道下面的理解是否正确. SSL是Secure Sockets Layer的缩写,它用来保护服务器和客户端之前的通信.它是基于信任+加密的概念. 在介绍SSL的原理 ...
- ASP.NET Core 实战:使用ASP.NET Core Web API 和 Vue.js 搭建前后端分离项目
一.前言 这几年前端的发展速度就像坐上了火箭,各种的框架一个接一个的出现,需要学习的东西越来越多,分工也越来越细,作为一个 .NET Web 程序猿,多了解了解行业的发展,让自己扩展出新的技能树,对自 ...
- ASP.NET Core Web API 集成测试中使用 Bearer Token
在 ASP.NET Core Web API 集成测试一文中, 我介绍了ASP.NET Core Web API的集成测试. 在那里我使用了测试专用的Startup类, 里面的配置和开发时有一些区别, ...
- Asp.Net Core Web Api图片上传及MongoDB存储实例教程(一)
图片或者文件上传相信大家在开发中应该都会用到吧,有的时候还要对图片生成缩略图.那么如何在Asp.Net Core Web Api实现图片上传存储以及生成缩略图呢?今天我就使用MongoDB作为图片存储 ...
最新文章
- npm scripts的生命周期管理
- FD.io/VPP — QoS — Policer CLI
- 软件测试白皮书-等价类
- es6 Object.getOwnPropertyDescriptors()
- 基于JAVA+SpringMVC+Mybatis+MYSQL的医院在线预约挂号系统
- JsonCpp常见用法
- pytorch中的 nn.ModuleList 和 nn.Sequential
- c++语言游戏存档,使用C++ fopen制作 iPhone 游戏存档
- 如何优雅的在微信小程序使用 SVG 字体图标
- 同文输入法 android,同文输入法下载-同文输入法 v3.0-beta2_手机乐园
- s一般怎么称呼自己的m_英文信的开头和结尾,怎么写才不会出错?
- 双手不离键盘,Vim和Vimium扩展
- bootloader学习笔记---第二篇
- Oasis Sapphire黑客松来袭 | 构建隐私DApp,赢取9000美元奖励!
- Revit二次开发环境搭建(Revit 2019+Visual Studio 2017)
- hive 计算周几_【hive】求日期是星期几
- 大顶堆,n个数中找最小的k个数
- Pippo java微服务,轻量级web开发框架,原来Filter还能这么玩
- 车用计算机内部结构图,汽车电脑的基本结构和工作原理
- 智慧交管可视化决策系统
热门文章
- APP测试流程和测试点
- Mysql身份认证漏洞及利用(CVE-2012-2122) 补充测试用例
- GPhone、OPhone、UPhone、APhone、IPhone:满城尽带XPhone
- Mysql Engine【innodb,myisam】
- 【OpenCV学习】OpenMP并行化实例
- 设计模式之Builder
- 诺基亚首款Windows Phone智能手机将在年内推出
- nagios监控mysql主机,nginx,cpu,网卡流量
- 单元测试 | 如何Mock IHttpClientFactory
- ASP.NET Core端点路由中三种让人困惑的路由函数