1. 什么是JWT?
JWT是一種用於雙方之間傳遞安全信息的簡潔的、URL安全的表述性聲明規范。JWT作為一個開放的標准(RFC 7519),定義了一種簡潔的,自包含的方法用於通信雙方之間以Json對象的形式安全的傳遞信息。因為數字簽名的存在,這些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘鑰對進行簽名。簡潔(Compact): 可以通過URL,POST參數或者在HTTP header發送,因為數據量小,傳輸速度也很快 自包含(Self-contained):負載中包含了所有用戶所需要的信息,避免了多次查詢數據庫。
2. JWT 的應用場景是什么?
身份認證在這種場景下,一旦用戶完成了登陸,在接下來的每個請求中包含JWT,可以用來驗證用戶身份以及對路由,服務和資源的訪問權限進行驗證。由於它的開銷非常小,可以輕松的在不同域名的系統中傳遞,所有目前在單點登錄(SSO)中比較廣泛的使用了該技術。 信息交換在通信的雙方之間使用JWT對數據進行編碼是一種非常安全的方式,由於它的信息是經過簽名的,可以確保發送者發送的信息是沒有經過偽造的
3. JWT的結構
JWT包含了使用.分隔的三部分: Header 頭部 Payload 負載 Signature 簽名
其結構看起來是這樣的Header.Payload.Signature
Header
在header中通常包含了兩部分:token類型和采用的加密算法。{ "alg": "HS256", "typ": "JWT"} 接下來對這部分內容使用 Base64Url 編碼組成了JWT結構的第一部分。
Payload
Token的第二部分是負載,它包含了claim, Claim是一些實體(通常指的用戶)的狀態和額外的元數據,有三種類型的claim:reserved, public 和 private.Reserved claims: 這些claim是JWT預先定義的,在JWT中並不會強制使用它們,而是推薦使用,常用的有 iss(簽發者),exp(過期時間戳), sub(面向的用戶), aud(接收方), iat(簽發時間)。 Public claims:根據需要定義自己的字段,注意應該避免沖突 Private claims:這些是自定義的字段,可以用來在雙方之間交換信息 負載使用的例子:{ "sub": "1234567890", "name": "John Doe", "admin": true} 上述的負載需要經過Base64Url編碼后作為JWT結構的第二部分。
Signature
創建簽名需要使用編碼后的header和payload以及一個秘鑰,使用header中指定簽名算法進行簽名。例如如果希望使用HMAC SHA256算法,那么簽名應該使用下列方式創建: HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) 簽名用於驗證消息的發送者以及消息是沒有經過篡改的。 完整的JWT 完整的JWT格式的輸出是以. 分隔的三段Base64編碼,與SAML等基於XML的標准相比,JWT在HTTP和HTML環境中更容易傳遞。 下列的JWT展示了一個完整的JWT格式,它拼接了之前的Header, Payload以及秘鑰簽名:
4. 如何使用JWT?
在身份鑒定的實現中,傳統方法是在服務端存儲一個session,給客戶端返回一個cookie,而使用JWT之后,當用戶使用它的認證信息登陸系統之后,會返回給用戶一個JWT,用戶只需要本地保存該token(通常使用local storage,也可以使用cookie)即可。 當用戶希望訪問一個受保護的路由或者資源的時候,通常應該在Authorization頭部使用Bearer模式添加JWT,其內容看起來是下面這樣:Authorization: Bearer <token>
因為用戶的狀態在服務端的內存中是不存儲的,所以這是一種無狀態的認證機制。服務端的保護路由將會檢查請求頭Authorization中的JWT信息,如果合法,則允許用戶的行為。由於JWT是自包含的,因此減少了需要查詢數據庫的需要。 JWT的這些特性使得我們可以完全依賴其無狀態的特性提供數據API服務,甚至是創建一個下載流服務。因為JWT並不使用Cookie的,所以你可以使用任何域名提供你的API服務而不需要擔心跨域資源共享問題(CORS)。 下面的序列圖展示了該過程:
5. 為什么要使用JWT?
相比XML格式,JSON更加簡潔,編碼之后更小,這使得JWT比SAML更加簡潔,更加適合在HTML和HTTP環境中傳遞。 在安全性方面,SWT只能夠使用HMAC算法和共享的對稱秘鑰進行簽名,而JWT和SAML token則可以使用X.509認證的公私秘鑰對進行簽名。與簡單的JSON相比,XML和XML數字簽名會引入復雜的安全漏洞。 因為JSON可以直接映射為對象,在大多數編程語言中都提供了JSON解析器,而XML則沒有這么自然的文檔-對象映射關系,這就使得使用JWT比SAML更方便
6. 在NetCore WebApi中怎么用?
WebAPI使用NetCore2.2創建,無身份認證信息
nuget安裝包
IdentityModel 版本3.10.10 Microsoft.AspNetCore.Authorization 版本2.2.0 Microsoft.AspNetCore.Authentication.JwtBearer 版本2.2.0
接下來我們需要新建一個文件夾Models,在文件夾下面新建一個類JwtSettings.cs
public class JwtSettings { /// <summary> /// token是誰頒發的 /// </summary> public string Issuer { get; set; } /// <summary> /// token可以給那些客戶端使用 /// </summary> public string Audience { get; set; } /// <summary> /// 加密的key(SecretKey必須大於16個,是大於,不是大於等於) /// </summary> public string SecretKey { get; set; } }
然后我們需要在appsettings.json中配置jwt參數的值 【注意】 SecretKey必須大於16個,是大於,不是大於等於
{ "Logging": { "LogLevel": { "Default": "Warning" } }, "AllowedHosts": "*", "JwtSettings": { "Issuer": "https://localhost:44336", "Audience": "https://localhost:44336", "SecretKey": "Hello-key----------" } }
Startup注入服務
// This method gets called by the runtime. Use this method to add services to the container. public void ConfigureServices(IServiceCollection services) { #region Jwt配置 //將appsettings.json中的JwtSettings部分文件讀取到JwtSettings中,這是給其他地方用的 services.Configure<JwtSettings>(Configuration.GetSection("JwtSettings")); //由於初始化的時候我們就需要用,所以使用Bind的方式讀取配置 //將配置綁定到JwtSettings實例中 var jwtSettings = new JwtSettings(); Configuration.Bind("JwtSettings", jwtSettings); //添加身份驗證 services.AddAuthentication(options => { //認證middleware配置 options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; }) .AddJwtBearer(o => { //jwt token參數設置 o.TokenValidationParameters = new TokenValidationParameters { NameClaimType = JwtClaimTypes.Name, RoleClaimType = JwtClaimTypes.Role, //Token頒發機構 ValidIssuer = jwtSettings.Issuer, //頒發給誰 ValidAudience = jwtSettings.Audience, //這里的key要進行加密 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSettings.SecretKey)), /***********************************TokenValidationParameters的參數默認值***********************************/ // RequireSignedTokens = true, // SaveSigninToken = false, // ValidateActor = false, // 將下面兩個參數設置為false,可以不驗證Issuer和Audience,但是不建議這樣做。 // ValidateAudience = true, // ValidateIssuer = true, // ValidateIssuerSigningKey = false, // 是否要求Token的Claims中必須包含Expires // RequireExpirationTime = true, // 允許的服務器時間偏移量 // ClockSkew = TimeSpan.FromSeconds(300), // 是否驗證Token有效期,使用當前時間與Token的Claims中的NotBefore和Expires對比 // ValidateLifetime = true }; }); #endregion //mvc路由配置 services.AddMvc(options => { options.Filters.Add(new ActionFilter()); }).SetCompatibilityVersion(CompatibilityVersion.Version_2_1); } // This method gets called by the runtime. Use this method to configure the HTTP request pipeline. public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } else { app.UseHsts(); } //身份授權認證 app.UseAuthentication(); app.UseHttpsRedirection(); app.UseMvc(); }
我們新建一個用戶的實體類app_mobile_user
public class app_mobile_user { public long id { get; set; } /// <summary> /// 手機號 /// </summary> public string phone { get; set; } /// <summary> /// 密碼 /// </summary> public string password { get; set; } }
接下來在Controllers文件夾下新建控制器userController.cs,完整代碼如下
namespace Mms.Api.Controllers { [Route("[controller]")] [ApiController] public class userController : ControllerBase { //獲取JwtSettings對象信息 private JwtSettings _jwtSettings; public userController(IOptions<JwtSettings> _jwtSettingsAccesser) { _jwtSettings = _jwtSettingsAccesser.Value; } /// <summary> /// 獲取token /// </summary> /// <param name="user"></param> private object Token(app_mobile_user model) { //測試自己創建的對象 var user = new app_mobile_user { id = 1, phone = "138000000", password = "e10adc3949ba59abbe56e057f20f883e" }; var tokenHandler = new JwtSecurityTokenHandler(); var key = Encoding.UTF8.GetBytes(_jwtSettings.SecretKey); var authTime = DateTime.Now;//授權時間 var expiresAt = authTime.AddDays(30);//過期時間 var tokenDescripor = new SecurityTokenDescriptor { Subject = new ClaimsIdentity(new Claim[] { new Claim(JwtClaimTypes.Audience,_jwtSettings.Audience), new Claim(JwtClaimTypes.Issuer,_jwtSettings.Issuer), new Claim(JwtClaimTypes.Name, user.phone.ToString()), new Claim(JwtClaimTypes.Id, user.id.ToString()), new Claim(JwtClaimTypes.PhoneNumber, user.phone.ToString()) }), Expires = expiresAt, //對稱秘鑰SymmetricSecurityKey //簽名證書(秘鑰,加密算法)SecurityAlgorithms SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature) }; var token = tokenHandler.CreateToken(tokenDescripor); var tokenString = tokenHandler.WriteToken(token); var result = new { access_token = tokenString, token_type = "Bearer", profile = new { id = user.id, name = user.phone, phone = user.phone, auth_time = authTime, expires_at = expiresAt } }; return result; } [Route("get_token")] [HttpPost] public IActionResult GetToken() { return Ok(Token(null)); } [Authorize] [Route("get_user_info")] [HttpPost] public IActionResult GetUserInfo() { //獲取當前請求用戶的信息,包含token信息 var user = HttpContext.User; return Ok(); } }
接下來就開始做驗證!
PostMan測試獲取token
這樣可以成功獲取token,下面來做權限校驗
在需要授權的api上新增 [Authorize] 標記
我們分別使用攜帶token和不攜帶token訪問get_user_info接口
1.未攜帶token,返回401
2.攜帶token訪問,返回了想要的數據
如果查看token信息到官方:https://jwt.io/
項目中需要解析token可以調用HttpContext.User
轉:https://www.cnblogs.com/saodiseng2015/p/9651619.html