JWT(JSON Web Token) 【轉載】

JWT(JSON Web Token)

• 什麼叫JWT
  JSON Web Token（JWT）是目前最流行的跨域身份驗證解決方案。

  通常來講，互聯網用戶認證是這樣子的。

  一、用戶向服務器發送用戶名和密碼。
  二、服務器驗證經過後，在當前對話（session）裏面保存相關數據，好比用戶角色、登陸時間等等。
  三、服務器向用戶返回一個 session_id，寫入用戶的 Cookie。
  四、用戶隨後的每一次請求，都會經過 Cookie，將 session_id 傳回服務器。
  五、服務器收到 session_id，找到前期保存的數據，由此得知用戶的身份。

  服務器須要保存session，作持久化，這種模式沒有分佈式架構，沒法支持橫向擴展，若是真的要的話就必須採用分佈式緩存來進行管理Seesion。那JWT相反，它保存的是在客戶端，每次請求都將JWT代入服務器，進行簽名，權限驗證。JWT由客戶端請求，服務端生成，客戶端保存，服務端驗證。

• JWT的原理與格式

  1. 原理
     在上面，咱們也講過了，簡單的來講，咱們將服務器須要驗證咱們的條件(帳戶，密碼等等)，發給服務器，服務器認證經過，生成一個JSON對象返回給咱們，例以下面。固然，爲了防止被篡改，因此咱們會將對象加密，再次請求服務器，須要將jwt放在請求頭部，傳遞給服務器，來判斷權限等等。

     1. { 
     2. "姓名": "張三", 
     3. "角色": "管理員", 
     4. "到期時間": "2018年7月1日0點0分" 
     5. } 

  2. 格式

     • 實際格式
     1. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. 
     2. eyJBIjoiQUFBQSIsIkIiOiJCQkJCIiwiQyI6IkNDQ0MiLCJ1ZXIiOiJ4dWh1YWxlIiwib3BlbmlkIjoiNTE1NjEzMTM1MTYzMjEiLCJmZiI6ImRmc2RzZGZzZGZzZHMiLCJuYmYiOjE1NTIyMTE4NjAsImV4cCI6MTU1MjIxMzY2MH0. 
     3. 16m57YnnIcgIth25dwphQKPYuIq42BVmZV6LIBO7KDg 

     它是一個很長的字符串，中間用點（.）分隔成三個部分。注意，JWT內部是沒有換行的，這裏只是爲了便於展現，將它寫成了幾行。JWT 的三個部分依次以下。

     • Header（頭部）
     • Payload（負載）
     • Signature（簽名）

     簡單講下，Header描述加密算法與token類型，Payload描述的是實際須要傳遞的數據，如失效時間，簽發人等等，Signature描述的是一段對於前面兩部部分的簽名，固然祕鑰只有服務器才知道。

簡單的介紹下JWT，更多的話，能夠這邊文章看看。咱們着重講下實現。

ASP.NET Core 的Middleware實現

1. 建立JWT
   首先咱們要先建立token，畢竟這個是最重要的。Core自帶JWT幫助類，因此咱們按照幫助類的意思來寫個方法建立token。

   1. public string CreateJsonWebToken(Dictionary<string, string> payLoad) 
   2. { 
   3. if (string.IsNullOrWhiteSpace(setting.SecurityKey)) 
   4. { 
   5. throw new ArgumentNullException("JsonWebTokenSetting.securityKey", 
   6. "securityKey爲NULL或空字符串。請在\"appsettings.json\"配置\"JsonWebToken\"節點及其子節點\"securityKey\""); 
   7. } 
   8. var now = DateTime.UtcNow; 
   9.  
   10. // Specifically add the jti (random nonce), iat (issued timestamp), and sub (subject/user) claims. 
   11. // You can add other claims here, if you want: 
   12. var claims = new List<Claim>(); 
   13. foreach (var key in payLoad.Keys) 
   14. { 
   15. var tempClaim = new Claim(key, payLoad[key]?.ToString()); 
   16. claims.Add(tempClaim); 
   17. } 
   18.  
   19. // Create the JWT and write it to a string 
   20. var jwt = new JwtSecurityToken( 
   21. issuer: null, 
   22. audience: null, 
   23. claims: claims, 
   24. notBefore: now, 
   25. expires: now.Add(TimeSpan.FromMinutes(setting.ExpiresMinute)), 
   26. signingCredentials: new SigningCredentials(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(setting.SecurityKey)), SecurityAlgorithms.HmacSha256)); 
   27. var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt); 
   28. return encodedJwt; 
   29. } 

   從方法咱們看到，咱們傳入的是負載這個片斷，而失效時間與祕鑰咱們是放在了appsettings.json來進行配置的。使用DI來獲取配置文件中的節點值。

2. 編寫中間件
   咱們都知道，中間件是Core的管道模型組成部分，因此咱們在中間件作驗證，來判斷每次請求用戶是有有權限是有該WebApi或者其餘API。

   1. 中間件
      1. public JwtCustomerAuthorizeMiddleware(RequestDelegate next, IOptions<JsonWebTokenSetting> options, IJsonWebTokenValidate jsonWebTokenValidate, Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad, List<string> anonymousPathList) 
      2. { 
      3. this._next = next; 
      4. this._setting = options.Value; 
      5. this._jsonWebTokenValidate = jsonWebTokenValidate; 
      6. this._validatePayLoad = validatePayLoad; 
      7. this._anonymousPathList = anonymousPathList; 
      8. } 
      9.  
      10. public async Task Invoke(HttpContext context) 
      11. { 
      12. //JsonWebTokenValidate 
      13. //如果路徑能夠匿名訪問，直接跳過 
      14. if (_anonymousPathList.Contains(context.Request.Path.Value)) 
      15. { 
      16. //還未驗證 
      17. await _next(context); 
      18. return; 
      19. } 
      20. var result = context.Request.Headers.TryGetValue("Authorization", out StringValues authStr); 
      21. if (!result || string.IsNullOrEmpty(authStr.ToString())) 
      22. { 
      23. throw new UnauthorizedAccessException("未受權，請傳遞Header頭的Authorization參數。"); 
      24. } 
      25.  
      26. //進行驗證與自定義驗證 
      27. result = _jsonWebTokenValidate.Validate(authStr.ToString().Substring("Bearer ".Length).Trim() 
      28. , _setting, _validatePayLoad); 
      29. if (!result) 
      30. { 
      31. throw new UnauthorizedAccessException("驗證失敗，請查看傳遞的參數是否正確或是否有權限訪問該地址。"); 
      32. } 
      33.  
      34. await _next(context); 
      35. } 

   從代碼來看，anonymousPathList是URL路徑，如果在這個List內的URL，即可直接跳過驗證，
   接着將authStrtoken代入驗證函數，validatePayLoad倒是咱們自代入的委託函數，用於服務器自定義驗證。

   2. 驗證
      驗證方法，我只是作了簽名驗證與時間驗證。並無定得死死的，讓用戶自由度的去進行驗證。
      1. public bool Validate(string encodeJwt, JsonWebTokenSetting setting, Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad) 
      2. { 
      3. if (string.IsNullOrWhiteSpace(setting.SecurityKey)) 
      4. { 
      5. throw new ArgumentNullException("JsonWebTokenSetting.securityKey", 
      6. "securityKey爲NULL或空字符串。請在\"appsettings.json\"配置\"JsonWebToken\"節點及其子節點\"securityKey\""); 
      7. } 
      8.  
      9. var success = true; 
      10. var jwtArr = encodeJwt.Split('.'); 
      11. var header = JsonConvert.DeserializeObject<Dictionary<string, string>>(Base64UrlEncoder.Decode(jwtArr[0])); 
      12. var payLoad = JsonConvert.DeserializeObject<Dictionary<string, string>>(Base64UrlEncoder.Decode(jwtArr[1])); 
      13.  
      14. var hs256 = new HMACSHA256(Encoding.ASCII.GetBytes(setting.SecurityKey)); 
      15. //首先驗證簽名是否正確（必須的） 
      16. success = success && string.Equals(jwtArr[2], Base64UrlEncoder.Encode(hs256.ComputeHash(Encoding.UTF8.GetBytes(string.Concat(jwtArr[0], ".", jwtArr[1]))))); 
      17. if (!success) 
      18. { 
      19. return success;//簽名不正確直接返回 
      20. } 
      21. //其次驗證是否在有效期內（也應該必須） 
      22. var now = ToUnixEpochDate(DateTime.UtcNow); 
      23. success = success && (now >= long.Parse(payLoad["nbf"].ToString()) && now < long.Parse(payLoad["exp"].ToString())); 
      24.  
      25. //再其次 進行自定義的驗證 
      26. success = success && validatePayLoad(payLoad, setting); 
      27.  
      28. return success; 
      29. } 

3. 加載中間件

   1. 使用擴展方法，來封裝中間件
   1. public static IApplicationBuilder UseJwtCustomerAuthorize(this IApplicationBuilder app, Action<IJwtCustomerAuthorezeOption> action) 
   2. { 
   3. var _JwtCustomerAuthorezeOption = app.ApplicationServices.GetService<IJwtCustomerAuthorezeOption>() as JwtCustomerAuthorezeOption; //new JwtCustomerAuthorezeOption(); 
   4. action(_JwtCustomerAuthorezeOption); 
   5. return app.UseMiddleware<JwtCustomerAuthorizeMiddleware>(_JwtCustomerAuthorezeOption.validatePayLoad, _JwtCustomerAuthorezeOption.anonymousPath); 
   6. } 
   2. 在Startup.cs使用
   • 註冊服務
     1. public void ConfigureServices(IServiceCollection services) { 
     2. services.AddJwt(Configuration);} 
   • 使用中間件
     1. public void Configure(IApplicationBuilder app, IHostingEnvironment env) 
     2. { 
     3. app.UseJwtCustomerAuthorize(option => 
     4. { 
     5. //設置不會被驗證的url，可使用鏈式調用一直添加 
     6. option.SetAnonymousPaths(new System.Collections.Generic.List<string>() 
     7. { 
     8. // "/", 
     9. "/Home/Privacy", 
     10. "/Home/CreateJsonToken" 
     11. }); 
     12. // 自定義驗證函數，playLoad爲帶過來的參數字典，setting爲失效時間與祕鑰 
     13. option.SetValidateFunc((playLoad, sertting) => 
     14. { 
     15. return true; 
     16. }); 
     17. }); 
     18. }  

總結下，經過上面，就完成了JWT在ASP.NET Core使用中間件的方式的實現。簡單來講就是用自帶方法建立token，驗證則使用中間件的形式，每次請求都須要進行驗證固然你能夠設置特殊URL。在下篇文章咱們來說講使用策略模式的JWT實現。