原文出自Rui Figueiredo的博客,原文鏈接《Secure a Web Api in ASP.NET Core》
摘要:這邊文章闡述了如何使用 Json Web Token (Jwt)方式 來配置身份驗證中間件。這種方式十分適合移動App 后端等不使用cookie的后端程序。
網絡上有許多資源可以教你如何保護ASP.NET Core Web應用程序。我寫過一些,例如 ASP.NET Core Identity From Scratch , External Login Providers in ASP.NET Core and Facebook Authentiation with ASP.NET Core.
不過對於保護Asp.Net WebApi,網絡上有用的信息似乎不多。所以在這篇博文中,我將介紹如何使用Json Web Tokens(JWT)來保護ASP.NET Core中的Web Api。我在github中有一個演示項目,你可以照着它來做。
使用token替代cookie
在一個Web應用程序中,如果你不打算使用供應外部調用(例如一個移動應用程序)的API,那么它通常使用一個cookie來表示一個已經登錄的用戶。
一般的流程是:用戶單擊登錄,進入登錄頁面,輸入有效憑證后,服務器發送給用戶瀏覽器的響應包含一個帶有加密信息的 Set-Cookie 頭。
cookie會被設置上domain 例如 blinkingcaret.com,每次瀏覽器向這個domain發送請求時,設置在這個domain上的cookie也會被帶上。
在服務器上,cookie將被解密,然后使用解密后的內容來創建用戶的 Identity。
如果客戶端是一個瀏覽器,這種方式將會非常非常適合。不過當我們的客戶端是一個移動應用程序時候,那就另當別論了。
JWT
我們可以使用什么來代替cookie呢?沒錯就是token。token也代表用戶,但是當我們使用它的時候,我們不再依賴於瀏覽器的內置機制以及用它和cookie打交道。
我們必須明確地向服務器要一個token,我們自己將它存儲在某個地方,然后在每個請求發送時手動帶上它。有一些方法可以使這個盡可能簡單快捷,我會在后面討論其中的一些方法。
我將在這里討論的token格式是JWT。
JWT代表Json Web Token。JWTtoken具有以下格式 base64-encoded-header.base64-encoded-payload.signature 。
一個heder的例子是
{
“alg”: “HS265”,
“typ”: “JWT”
}
payload包含一系列 claims,例如:
{
"name": "Rui",
"admin": true
}
最后,通過采用“base64(header).base64(payload)”創建簽名,並使用頭部指定的算法對簽名其進行加密。例如 HMAC-SHA256。簽名部分會用到一個存儲在server上的密鑰,這個密鑰是不會發給客戶端的。
下面是一個真正的JWT的例子:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoicnVpIiwic3ViIjoidGVzdCIsIm5iZiI6MTUwMzYxNDU4NSwiZXhwIjoxNTA2MDMzNzg1LCJpc3MiOiJibGlua2luZ2NhcmV0IHN0cyIsImF1ZCI6ImJsaW5raW5nY2FyZXQgYXBwIn0.F7PFoYcQXez3zV98BFKLpyON6d_1p-6IAeihZRSv0VM
你必須注意的是,JWT中包含的信息沒有加密。為了獲得有效payload,你只需要base64解碼。你甚至可以從你的開發者工具控制台(例如在Chrome中)這樣做。使用atob方法並將payload作為參數傳遞。你會得到解密后的JSON 。signature只能保證如果有人篡改了payload,那么signature將會失效。如果有人想成功替換有效載荷並生成有效的token,他們需要知道簽名中使用的密鑰,但是該密鑰永遠不會被發送到客戶端。
所以,當你想往payload里放一些東西的時候,你一定要知道上面這些
譯者注:就是不要把敏感信息放在payload里,比如:密碼。
在 ASP.NET Core 中使用JWT#
要在ASP.NET Core中使用JWT,我們需要知道如何手動創建JWTtoken,如何驗證它們以及如何創建端點以便客戶端應用程序可以獲得它們。
如何創建JWTtoken
首先你需要安裝nuget包System.IdentityModel.Tokens.Jwt:
$ dotnet add package System.IdentityModel.Tokens.Jwt
然后創建一個密鑰。我們將使用 symmetric key(譯者注:對稱密鑰),代碼如下:
var secretKey = new SymmetricSecurityKey(Endoding.UTF8.GetBytes("a secret that needs to be at least 16 characters long"));
譯者注:a secret that needs to be at least 16 characters long=>一個至少需要16個字符的密碼,在驗證簽名時還會用到。
我們的token將包含一組claims。所以讓我們創建它們:
var claims = new Claim[] {
new Claim(ClaimTypes.Name, "John"),
new Claims(JwtRegisteredClaimNames.Email, "john.doe@blinkingcaret.com")
}
我已經使用了兩種claim類型 :
- ClaimTypes(System.Security.Claims)
- JwtRegisteredClaimNames(System.IdentityModel.Tokens.Jwt)
要強調的是JwtRegisteredClaimNames包含在JWT RFC中列舉的claims中。如果你打算使用不同編程語言或者框架生成的token,那么為了兼容性,你應該盡可能的使用這個。不過,有一些聲明類型可以在ASP.NET中啟用某些功能。例如,ClaimTypes.Name 是用戶名(User.Identity.Name)的默認聲明類型。另一個例子是ClaimTypes.Role,如果你在Authorize屬性中使用Roles屬性(例如[Authorize(Roles =“Administrator”)]),這個聲明將會被檢查用來確認權限。
在創建我們想要在token中編碼的claims列表之后,我們可以創建token本身,代碼如下:
var token = new JwtSecurityToken(
issuer: "your app",
audience: "the client of your app",
claims: claims,
notBefore: DateTime.Now,
expires: DateTime.Now.AddDays(28),
signingCredentials: new SigningCredentials(key, SecurityAlgorithms.HmacSha256)
);
這里有一些我之前沒有提到的概念,即發issue,audience和expiration dates。
譯者注: 發行者,受眾/聽眾,過期時間
發行者表示生成token的實體,在這個例子里它是ASP.NET Core Web應用程序。audience代表將要使用這些token的實體,例如 client。如果你依靠第三方創建token(不是現在所要用到的),這個issue和audience是重要的。驗證token時,你可以驗證issue和audience。
notBefore 和 expire 定義了 token的有效時間區間,在notBefore之后expire之前。
最后在signedCredentials中指定使用哪個安全密鑰和什么算法來創建簽名。在這個例子中我們使用了HMAC-SHA256。
如果你不關心issue和audience(在JWT規范中是可選的),你可以使用接受JwtSecurityHeader和JwtSecurityPayload的JwtSecurityToken的更簡單的構造函數重載。不過你必須手動將expires和notBefore聲明添加到有效內容中,例如:
var claims = new Claim[] {
new Claim(ClaimTypes.Name, "John"),
new Claims(JwtRegisteredClaimNames.Email, "john.doe@blinkingcaret.com"),
new Claim(JwtRegisteredClaimNames.Exp, $"{new DateTimeOffset(DateTime.Now.AddDays(1)).ToUnixTimeSeconds()}"),
new Claim(JwtRegisteredClaimNames.Nbf, $"{new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds()}")
}
var token = new JwtSecurityToken(new JwtHeader(new SigningCredentials(key, SecurityAlgorithms.HmacSha256)), new JwtPayload(claims));
請注意Exp(expires)和Nbf(notBefore)聲明的值是一個Unix時間的字符串。將DateTime轉換為該格式的最簡單方法是使用DateTimeOffset。
在創建JwtSecurityToken的實例后,實際生成token的方法是調用JwtSecurityTokenHandler實例的WriteToken方法,並將JwtSecurityToken作為參數傳遞:
string jwtToken = new JwtSecurityTokenHandler().WriteToken(token);
創建獲取token的端點
現在我們知道如何創建我們的JWT token了,我們還需要一種方法來讓客戶端獲得它們。最簡單的方法是創建一個期望發布請求的web api controller action 接受一個Post請求,例如下面的代碼:
public class TokenController : Controller
{
[Route("/token")]
[HttpPost]
public IActionResult Create(string username, string password)
{
if (IsValidUserAndPasswordCombination(username, password))
return new ObjectResult(GenerateToken(username));
return BadRequest();
}
//...
在IsValidUserAndPasswordCombination中,你可以來驗證用戶的憑據例如使用例如ASP.NET Identity(如果你需要參考資料來學習ASP.NET Identity,你可以看這篇博客 ASP.NET Identity Core From Scratch)。
GenerateToken我們剛剛在上一節中描述過。
驗證用戶,並使其登陸
現在我們有了一種發行token的方法,我們還需要一種方法來驗證它們。我們將使用ASP.NET Core的身份驗證中間件,並將其配置為可接受JWT token。
將Microsoft.AspNetCore.Authentication.JwtBearer NuGet包添加到你的項目。
$ dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer
接下來打開Startup.cs並更新ConfigureServices方法:
public void ConfigureServices(IServiceCollection services)
{
//...
services.AddAuthentication(options => {
options.DefaultAuthenticateScheme = "JwtBearer";
options.DefaultChallengeScheme = "JwtBearer";
})
.AddJwtBearer("JwtBearer", jwtBearerOptions =>
{
jwtBearerOptions.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your secret goes here")),
ValidateIssuer = true,
ValidIssuer = "The name of the issuer",
ValidateAudience = true,
ValidAudience = "The name of the audience",
ValidateLifetime = true, //validate the expiration and not before values in the token
ClockSkew = TimeSpan.FromMinutes(5) //5 minute tolerance for the expiration date
};
});
}
如果你不熟悉ASP.NET Core的身份驗證中間件,則建議你閱讀External Login Providers in ASP.NET Core。
即使是關於如何使用Google,Facebook等進行外部登陸提供程序登錄,但是這篇博客也含有有關身份驗證中間件如何工作的詳細說明。
此外請注意,這是新的ASP.NET Core 2.0語法,其中通過ConfigureServices方法完全配置了身份驗證,但概念是相同的。
譯者注:External Login Providers in ASP.NET Core這篇博客在撰寫的時候使用的是 Asp.Net Core 1.x。
在這個例子中更重要的是 TokenValidationParameters 類。這是你必須實例化的類,它將用來配置如何驗證token。
在Startup.cs中,你需要更新Configure方法並添加身份驗證中間件:
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
//...
app.UseAuthentication(); //needs to be up in the pipeline, before MVC
//...
app.UseMvc(ConfigureRoutes);
//..
Client 客戶端
web api客戶端可以是桌面應用程序,移動設備甚至是瀏覽器。我將要描述的例子是Web應用程序的登錄、保存token、然后使用它來執行對請求的認證。你可以在這里找到一個可以正常工作的例子。
首先,為了能夠登陸,你需要將用戶名和密碼發送POST請求到“/ token”(或者你設置的獲取token的Web Api斷點)。你可以很容易地使用jQuery來做到這一點:
$.post("/token", $.param({username: "the username", password: "the password"})).done(function(token){
//save the token in local storage
localStorage.setItem("token", token);
//...
}).fail(handleError);
如果一切順利,則可以將獲得JWT token,然后你可以將其保存在某個位置,通常在Web應用程序中,我們將它保存到 local storage 中。在移動設備上則取決於你使用的平台,但它們都具有允許你保存token的功能(例如Android的SharedPreferences)。
對於上一節中的身份驗證中間件,接受JWT token並將其轉換為可以在控制器操作中訪問的User,則該請求必須具有 Authorization header。header的值應該是“Bearer ”,然后是JWT token,例如:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1l...
盡管你可以“手動”將授權標頭添加到每個請求,但通常有自動執行的方法。例如jQuery中有一個時間可以允許你在發送請求之前做一些操作,例如在這里檢查是否存在 token,如果有就加到Authentication頭里。
$.ajaxSetup({
beforeSend: function(xhr) {
if (localStorage.getItem("token") !== null) {
xhr.setRequestHeader('Authorization', 'Bearer ' + localStorage.getItem("token"));
}
}
});
如果你使用其他框架,也有類似的機制,例如Angular有HttpInterceptors。
最后,你只需要從本地存儲中刪除token即可注銷:
localStorage.removeItem("token")
需要注意的一件事情是,如果客戶端執行的操作需要用戶進行身份驗證,並且請求中沒有(有效)授權標頭,則服務器將返回帶有401狀態碼的響應。該響應還將具有WWW-Authenticate:Bearer header。如果你收到這樣的響應,則你可以通知用戶需要驗證身份。
全文完
原文出自Rui Figueiredo的博客,原文鏈接《Secure a Web Api in ASP.NET Core》
歡迎大家加入.NetCore學習交流群 群號:180537383
