詳情可參考:https://www.cnblogs.com/aaron911/p/11300062.html
為什么使用JWT?
JWT 全稱 JSON Web Tokens ,是一種規范化的 token。是對 token 這一技術提出一套規范.
隨着技術的發展,分布式web應用的普及,通過session管理用戶登錄狀態成本越來越高,因此慢慢發展成為token的方式做登錄身份校驗,然后通過token去取redis中的緩存的用戶信息,隨着之后jwt的出現,校驗方式更加簡單便捷化,無需通過redis緩存,而是直接根據token取出保存的用戶信息,以及對token可用性校驗,單點登錄更為簡單。
這里還有一個在線的的JWT生成器
什么時候你應該用JSON Web Tokens
下列場景中使用JSON Web Token是很有用的:
- Authorization (授權) : 這是使用JWT的最常見場景。一旦用戶登錄,后續每個請求都將包含JWT,允許用戶訪問該令牌允許的路由、服務和資源。單點登錄是現在廣泛使用的JWT的一個特性,因為它的開銷很小,並且可以輕松地跨域使用。
- Information Exchange (信息交換) : 對於安全的在各方之間傳輸信息而言,JSON Web Tokens無疑是一種很好的方式。因為JWTs可以被簽名,例如,用公鑰/私鑰對,你可以確定發送人就是它們所說的那個人。另外,由於簽名是使用頭和有效負載計算的,您還可以驗證內容沒有被篡改
JSON Web Token的結構是什么樣的
jwt結構參考:JWT(詳解)_等兒的博客-CSDN博客_jwt
JSON Web Token由三部分組成,它們之間用圓點(.)連接。這三部分分別是:
- Header:令牌頭部,記錄了整個令牌的類型和簽名算法
- Payload:令牌負荷,記錄了保存的主體信息,比如你要保存的用戶信息就可以放到這里
- Signature:令牌簽名,按照頭部固定的簽名算法對整個令牌進行簽名,該簽名的作用是:保證令牌不被偽造和篡改
因此,一個典型的JWT看起來是這個樣子的:
xxxxx.yyyyy.zzzzz
header典型的由兩部分組成:token的類型(“JWT”)和算法名稱(比如:HMAC SHA256或者RSA等等)。用Base64對這個JSON編碼就得到JWT的第一部分。格式如下:
{ "alg":"HS256", "typ":"JWT" }
該對象記錄了:
- alg:signature部分使用的簽名算法,通常可以取兩個值
- HS256:一種對稱加密算法,使用同一個秘鑰對signature加密解密
- RS256:一種非對稱加密算法,使用私鑰加密,公鑰解密
- typ:整個令牌的類型,固定寫
JWT即可
payload,它包含聲明(要求)。聲明是關於實體(通常是用戶)和其他數據的聲明。聲明有三種類型: registered, public 和 private。注意,不要在JWT的payload或header中放置敏感信息,除非它們是加密的。格式如下:
{ "ss":"發行者", "iat":"發布時間", "exp":"到期時間", "sub":"主題", "aud":"聽眾", "nbf":"在此之前不可用", "jti":"JWT ID" }
Signature 為了得到簽名部分,你必須有編碼過的header、編碼過的payload、一個秘鑰,簽名算法是header中指定的那個,然對它們簽名即可。
例如:
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
簽名是用於驗證消息在傳遞過程中有沒有被更改,並且,對於使用私鑰簽名的token,它還可以驗證JWT的發送方是否為它所稱的發送方。
使用JWT
1、我們打開Nuget,搜索JWT 安裝。
2、封裝一個jwt幫助類
public class JwtHelp { //私鑰 web.config中配置 //"GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk"; private static string secret = ConfigurationManager.AppSettings["Secret"].ToString(); /// <summary> /// 生成JwtToken /// </summary> /// <param name="payload">不敏感的用戶數據</param> /// <returns></returns> public static string SetJwtEncode(Dictionary<string, object> payload) { //格式如下 //var payload = new Dictionary<string, object> //{ // { "username","admin" }, // { "pwd", "claim2-value" } //}; IJwtAlgorithm algorithm = new HMACSHA256Algorithm(); IJsonSerializer serializer = new JsonNetSerializer(); IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder(); IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder); var token = encoder.Encode(payload, secret); return token; } /// <summary> /// 根據jwtToken 獲取實體 /// </summary> /// <param name="token">jwtToken</param> /// <returns></returns> public static dynamic GetJwtDecode(string token) { try { IJsonSerializer serializer = new JsonNetSerializer(); IDateTimeProvider provider = new UtcDateTimeProvider(); IJwtValidator validator = new JwtValidator(serializer, provider); IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder(); IJwtAlgorithm algorithm = new HMACSHA256Algorithm(); IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder, algorithm); token = token.Replace("Bearer ", ""); var userInfo = decoder.DecodeToObject<dynamic>(token, secret, verify: true);//token為之前生成的字符串 return userInfo; } catch (TokenExpiredException) { Console.WriteLine("Token has expired"); //過期 return ""; } catch (SignatureVerificationException) { Console.WriteLine("Token has invalid signature"); //簽名沒有驗證 return ""; } //var json = JwtBuilder.Create() // .WithAlgorithm(new HMACSHA256Algorithm()) // symmetric // .WithSecret(secret) // .MustVerifySignature() // .Decode(token); } }
3、編寫一個繼承AuthorizeAttribute實現類
public class TokenAuthAttribute : AuthorizeAttribute { /// <summary> /// 驗證入口 /// </summary> /// <param name="actionContext"></param> public override void OnAuthorization(HttpActionContext actionContext) { //前端請求api時會將token存放在名為"AccessToken"的請求頭中 var content = actionContext.Request.Properties["MS_HttpContext"] as HttpContextBase; var token = content.Request.Headers["AccessToken"]; //自己加入在頭部的名稱 if (!string.IsNullOrEmpty(token?.ToString())) { dynamic userinfo = JwtHelp.GetJwtDecode(token); if (userinfo != null) { base.IsAuthorized(actionContext); } else HandleUnauthorizedRequest(actionContext); } else { var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>(); bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute); if (isAnonymous) base.OnAuthorization(actionContext); else HandleUnauthorizedRequest(actionContext); } } /// <summary> /// 重寫HandleUnauthorizedRequest /// </summary> /// <param name="filterContext"></param> protected override void HandleUnauthorizedRequest(HttpActionContext filterContext) { base.HandleUnauthorizedRequest(filterContext); var response = filterContext.Response = filterContext.Response ?? new HttpResponseMessage(); //狀態碼401改為其他狀態碼來避免被重定向。最合理的是改為403,表示服務器拒絕。 response.StatusCode = HttpStatusCode.Forbidden; var content = new { success = false, errs = new[] { "服務端拒絕訪問:沒有權限" } }; response.Content = new StringContent(Json.Encode(content), Encoding.UTF8, "application/json"); } }
4、創建一個控制器
public class JwtController : ApiController { public void CreateToken() {
IDateTimeProvider provider = new UtcDateTimeProvider();
var now = provider.GetNow();
var expTime = now.AddDays(30);
var secondsSinceEpoch = Math.Round((expTime - now).TotalSeconds);
// 生成 token var payload = new Dictionary<string, object> { { "Id",user.Id }, { "Account",user.Account }, { "Name",user.NickName }, { "AccountType",user.AccountType }, { "exp",secondsSinceEpoch+1 }//token過期時間 }; //返回登錄結果、用戶信息、用戶驗證票據信息 var AccessToken = JwtHelp.SetJwtEncode(payload); } [TokenAuth]//只有加上這個才會進行token驗證,通常是放在類上面的,我放在這里是為了測試使用。請求該方法如果請求頭不包含token,則會提示服務器拒絕訪問 public string Test() { return "來了"; } }