ASP.NET Core2利用Jwt技術在服務端實現對客戶端的身份認證
背景javascript
在微服務架構下,通常都會按不一樣的業務或功能將整個系統切分紅不一樣的獨立子系統,再經過REST API或RPC進行通信並相互調用,造成各個子系統之間的串聯結構。在這裏,咱們將採用REST API的通信方式。前端
好比:java
一、有一個「用戶中心」獨立子系統名爲「Lezhima.UserHub」,是一個基於ASP.NET Core mvc 2.0的項目。web
二、有一個處理用戶訂單的獨立子系統名爲「Lezhima.UserOrder」,是一個基於ASP.NET Core webp api 2.0的項目。ajax
三、同時還有一個處理用戶文件上傳的獨立子系統名爲「Lezhima.UserUpload」,是一個基於ASP.NET Core webp api 2.0的項目。後端
業務關係以下:api
用戶成功登陸後進入「Lezhima.UserHub」,在用戶查看訂單時經過前端Ajax調用「Lezhima.UserOrder」的web api接口,在用戶上傳圖片是經過前端Ajax調用「Lezhima.UserUpload」的web api接口。安全
至此,咱們瞭解了上面的業務關係後,內心必定產生出以下兩個問題:架構
一、如何保障「Lezhima.UserOrder」與「Lezhima.UserUpload」兩個獨立系統內的web api接口安全,由於它們已經被暴露在了前端。mvc
二、如何在「Lezhima.UserHub」站頒發Token。
那麼,帶着問題咱們下面就結合ASP.NET Core 自帶的Jwt技術來討論具體的實現(也許聰明的你有更好的解決方法,請必定告知我,謝謝)。
Jwt 全名爲:JSON Web Token,是一個很成熟的技術,園子裏也有不少這方面的知識,我這裏就再也不重述了。
實現原理
「Lezhima.UserHub」站由於已經作了登陸驗證,咱們暫且認爲它是可信的,因此在前端Ajax請求「Lezhima.UserOrder」站的web api接口時先到自已後端去生成一個Token,並隨之同本次跨站請求一塊攜帶至「Lezhima.UserOrder」站,「Lezhima.UserOrder」站驗證請求頭中的Token是否合法,如合法則繼續路由到具體方法中,不然結束請求。「Lezhima.UserUpload」站原理與「Lezhima.UserOrder」相同。
實現代碼
Lezhima.UserHub頒發Token代碼:
/// <summary>
/// 頒發一個指定有效期的Token,並將當前登陸的用戶id傳遞進來
/// </summary>
/// <param name="currentUserId"></param>
/// <param name="expiresMinutes"></param>
/// <returns></returns>
public static async Task<string> GetAccessToken(string currentUserId,int expiresMinutes=2)
{
return await Task.Run(() =>
{
//約定私鑰,下面三個參數可放到配置文件中
var secret = "NGUzNmNlNzQtZThkZC00YjRh";
//發行者
var iss = "Andre";
//接受者
var aud = "Andre";
if (string.IsNullOrEmpty(secret) || string.IsNullOrEmpty(iss) || string.IsNullOrEmpty(aud))
return "";
if (string.IsNullOrEmpty(currentUserId))
currentUserId = Guid.NewGuid().ToString();
var now = DateTime.UtcNow;
var claims = new Claim[]
{
new Claim(JwtRegisteredClaimNames.Sub, currentUserId),
new Claim(JwtRegisteredClaimNames.Iat, now.ToUniversalTime().ToString(), ClaimValueTypes.Integer64)
};
var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(secret));
var jwt = new JwtSecurityToken(
issuer: iss,
audience: aud,
claims: claims,
notBefore: now,
expires: now.Add(TimeSpan.FromMinutes(expiresMinutes)),
signingCredentials: new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256)
);
return new JwtSecurityTokenHandler().WriteToken(jwt); //生成一個新的token
});
}
Lezhima.UserHub前端Ajax跨站請求代碼:
//封裝一個Ajax請求公共方法
function GetWebDataByObject(url, requestMethon, paramter) {
jQuery.support.cors = true;
apiUrl = 'http://127.0.0.1:8012/';
var token = GetToken(); //調用本站內的Token頒發Web api接口
var result = [];
$.ajax({
type: requestMethon,
url: apiUrl + url,
data: paramter,
async: false,
beforeSend: function (xhr) {
//將Token攜帶到請求頭中
xhr.setRequestHeader("Authorization", "Bearer " + token);
},
success: function (data) {
result = data;
},
error: function (XMLHttpRequest, textStatus, errorThrown) {
// 狀態碼
console.log(XMLHttpRequest.status);
// 狀態
console.log(XMLHttpRequest.readyState);
// 錯誤信息
console.log(textStatus);
}
});
return result;
}
「Lezhima.UserOrder」站開啓Jwt的Token驗證,在Startup.cs裏添加以下代碼:
public IServiceProvider ConfigureServices(IServiceCollection services)
{
services.AddCors();
//從配置文件中獲取私鑰、發行者、接受者三個參數
//三個參數的值必需與頒發Token站相同
var audienceConfig = Configuration.GetSection("Audience");
var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(audienceConfig["Secret"]));
var tokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = signingKey,
ValidateIssuer = true,
ValidIssuer = audienceConfig["Iss"],
ValidateAudience = true,
ValidAudience = audienceConfig["Aud"],
ValidateLifetime = true,
ClockSkew = TimeSpan.Zero,
RequireExpirationTime = true,
};
//注入Jwt驗證
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options => {
options.RequireHttpsMetadata = false;
options.TokenValidationParameters = tokenValidationParameters;
});
services.AddMvc();
var builder = new ContainerBuilder();
builder.RegisterModule(new Evolution());
builder.Populate(services);
var container = builder.Build();
return container.Resolve<IServiceProvider>();
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseCors(builder =>
builder.WithOrigins("*")
.AllowAnyHeader()
.AllowAnyMethod()
.AllowCredentials()
);
//開啓驗證
app.UseAuthentication();
app.UseMvc();
}
「Lezhima.UserOrder」站內的控制器裏添加驗證過濾器[Authorize],以下代碼:
[Route("api/[Controller]")]
//添加過濾器後,該控制器內全部Action都將進行Token驗證
[Authorize]
public class OrderController : Controller
{
}
至此,基於ASP.NET Core的Jwt跨站驗證Token方案就所有完成了,是否是很簡單呀^_^ ^_^ !!
總結
一、Token頒發者與驗證者都必需使用相同的私鑰,私鑰、發行者、接受者等參數能夠放在配置文件中動態配置!
二、在項目Startup類中的ConfigureServices方法內添加註冊使用Jwt身份驗證的功能。
三、在驗證者項目的控制器上或方法上加上過濾器 [Authorize]便可開啓身份驗證。
聲明
本文爲做者原創,轉載請備註出處與保留原文地址,謝謝。如文章能給您帶來幫助,請點下推薦或關注,感謝您的支持!
- 1. ASP.NET WebApi OAuth2身份認證,搭建客戶端(二)
- 2. go-kit微服務:JWT身份認證
- 3. WebService:Axis客戶端調用需要身份驗證的CXF服務
- 4. 客戶端證書認證的實現
- 5. ASP.NET Core系列:JWT身份認證
- 6. ASP.NET WebApi OAuth2身份認證,搭建服務端(一)
- 7. 移動 APP 端與服務器端用戶身份認證的安全方案
- 8. Asp.Net Core 利用Cookie作身份認證
- 9. Asp.Net MVC 模型驗證詳解-實現客戶端、服務端雙重驗證
- 10. 使用redis實現客戶端和服務端token驗證
- 更多相關文章...
- • XSLT - 在客戶端 - XSLT 教程
- • XSLT - 在服務器端 - XSLT 教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • Docker容器實戰(一) - 封神Server端技術
-
每一个你不满意的现在,都有一个你没有努力的曾经。