背景
在微服務架構下,一般都會按不同的業務或功能將整個系統切分成不同的獨立子系統,再通過REST API或RPC進行通訊並相互調用,形成各個子系統之間的串聯結構。在這里,我們將采用REST API的通訊方式。
比如:
1、有一個“用戶中心”獨立子系統名為“Lezhima.UserHub”,是一個基於ASP.NET Core mvc 2.0的項目。
2、有一個處理用戶訂單的獨立子系統名為“Lezhima.UserOrder”,是一個基於ASP.NET Core webp api 2.0的項目。
3、同時還有一個處理用戶文件上傳的獨立子系統名為“Lezhima.UserUpload”,是一個基於ASP.NET Core webp api 2.0的項目。
業務關系如下:
用戶成功登錄后進入“Lezhima.UserHub”,在用戶查看訂單時通過前端Ajax調用“Lezhima.UserOrder”的web api接口,在用戶上傳圖片是通過前端Ajax調用“Lezhima.UserUpload”的web api接口。
至此,我們了解了上面的業務關系后,心里一定產生出如下兩個問題:
1、如何保障“Lezhima.UserOrder”與“Lezhima.UserUpload”兩個獨立系統內的web api接口安全,因為它們已經被暴露在了前端。
2、如何在“Lezhima.UserHub”站頒發Token。
那么,帶着問題我們下面就結合ASP.NET Core 自帶的Jwt技術來討論具體的實現(也許聰明的你有更好的解決方法,請一定告知我,謝謝)。
Jwt 全名為:JSON Web Token,是一個很成熟的技術,園子里也有很多這方面的知識,我這里就不再重述了。
實現原理
“Lezhima.UserHub”站因為已經做了登錄驗證,我們暫且認為它是可信的,所以在前端Ajax請求“Lezhima.UserOrder”站的web api接口時先到自已后端去生成一個Token,並隨之同本次跨站請求一塊攜帶至“Lezhima.UserOrder”站,“Lezhima.UserOrder”站驗證請求頭中的Token是否合法,如合法則繼續路由到具體方法中,否則結束請求。“Lezhima.UserUpload”站原理與“Lezhima.UserOrder”相同。
實現代碼
Lezhima.UserHub頒發Token代碼:
/// <summary>
/// 頒發一個指定有效期的Token,並將當前登錄的用戶id傳遞進來
/// </summary>
/// <param name="currentUserId"></param>
/// <param name="expiresMinutes"></param>
/// <returns></returns>
public static async Task<string> GetAccessToken(string currentUserId,int expiresMinutes=2)
{
return await Task.Run(() =>
{
//約定私鑰,下面三個參數可放到配置文件中
var secret = "NGUzNmNlNzQtZThkZC00YjRh";
//發行者
var iss = "Andre";
//接受者
var aud = "Andre";
if (string.IsNullOrEmpty(secret) || string.IsNullOrEmpty(iss) || string.IsNullOrEmpty(aud))
return "";
if (string.IsNullOrEmpty(currentUserId))
currentUserId = Guid.NewGuid().ToString();
var now = DateTime.UtcNow;
var claims = new Claim[]
{
new Claim(JwtRegisteredClaimNames.Sub, currentUserId),
new Claim(JwtRegisteredClaimNames.Iat, now.ToUniversalTime().ToString(), ClaimValueTypes.Integer64)
};
var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(secret));
var jwt = new JwtSecurityToken(
issuer: iss,
audience: aud,
claims: claims,
notBefore: now,
expires: now.Add(TimeSpan.FromMinutes(expiresMinutes)),
signingCredentials: new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256)
);
return new JwtSecurityTokenHandler().WriteToken(jwt); //生成一個新的token
});
}
Lezhima.UserHub前端Ajax跨站請求代碼:
//封裝一個Ajax請求公共方法
function GetWebDataByObject(url, requestMethon, paramter) {
jQuery.support.cors = true;
apiUrl = 'http://127.0.0.1:8012/';
var token = GetToken(); //調用本站內的Token頒發Web api接口
var result = [];
$.ajax({
type: requestMethon,
url: apiUrl + url,
data: paramter,
async: false,
beforeSend: function (xhr) {
//將Token攜帶到請求頭中
xhr.setRequestHeader("Authorization", "Bearer " + token);
},
success: function (data) {
result = data;
},
error: function (XMLHttpRequest, textStatus, errorThrown) {
// 狀態碼
console.log(XMLHttpRequest.status);
// 狀態
console.log(XMLHttpRequest.readyState);
// 錯誤信息
console.log(textStatus);
}
});
return result;
}
“Lezhima.UserOrder”站開啟Jwt的Token驗證,在Startup.cs里添加如下代碼:
public IServiceProvider ConfigureServices(IServiceCollection services)
{
services.AddCors();
//從配置文件中獲取私鑰、發行者、接受者三個參數
//三個參數的值必需與頒發Token站相同
var audienceConfig = Configuration.GetSection("Audience");
var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(audienceConfig["Secret"]));
var tokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = signingKey,
ValidateIssuer = true,
ValidIssuer = audienceConfig["Iss"],
ValidateAudience = true,
ValidAudience = audienceConfig["Aud"],
ValidateLifetime = true,
ClockSkew = TimeSpan.Zero,
RequireExpirationTime = true,
};
//注入Jwt驗證
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options => {
options.RequireHttpsMetadata = false;
options.TokenValidationParameters = tokenValidationParameters;
});
services.AddMvc();
var builder = new ContainerBuilder();
builder.RegisterModule(new Evolution());
builder.Populate(services);
var container = builder.Build();
return container.Resolve<IServiceProvider>();
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseCors(builder =>
builder.WithOrigins("*")
.AllowAnyHeader()
.AllowAnyMethod()
.AllowCredentials()
);
//開啟驗證
app.UseAuthentication();
app.UseMvc();
}
“Lezhima.UserOrder”站內的控制器里添加驗證過濾器[Authorize],如下代碼:
[Route("api/[Controller]")]
//添加過濾器后,該控制器內所有Action都將進行Token驗證
[Authorize]
public class OrderController : Controller
{
}
至此,基於ASP.NET Core的Jwt跨站驗證Token方案就全部完成了,是不是很簡單呀^_^ ^_^ !!
總結
1、Token頒發者與驗證者都必需使用相同的私鑰,私鑰、發行者、接受者等參數可以放在配置文件中動態配置!
2、在項目Startup類中的ConfigureServices方法內添加注冊使用Jwt身份驗證的功能。
3、在驗證者項目的控制器上或方法上加上過濾器 [Authorize]即可開啟身份驗證。
聲明
本文為作者原創,轉載請備注出處與保留原文地址,謝謝。如文章能給您帶來幫助,請點下推薦或關注,感謝您的支持!