【译】使用Jwt身份认证保护 Asp.Net Core Web Api

简介: 原文出自Rui Figueiredo的博客,原文链接《Secure a Web Api in ASP.NET Core》摘要:这边文章阐述了如何使用 Json Web Token (Jwt)方式 来配置身份验证中间件。

原文出自Rui Figueiredo的博客,原文链接《Secure a Web Api in ASP.NET Core》


摘要:这边文章阐述了如何使用 Json Web Token (Jwt)方式 来配置身份验证中间件。这种方式十分适合移动App 后端等不使用cookie的后端程序。

网络上有许多资源可以教你如何保护ASP.NET Core Web应用程序。我写过一些,例如 ASP.NET Core Identity From Scratch , External Login Providers in ASP.NET Core and Facebook Authentiation with ASP.NET Core.

不过对于保护Asp.Net WebApi,网络上有用的信息似乎不多。所以在这篇博文中,我将介绍如何使用Json Web Tokens(JWT)来保护ASP.NET Core中的Web Api。我在github中有一个演示项目,你可以照着它来做。

使用token替代cookie

在一个Web应用程序中,如果你不打算使用供应外部调用(例如一个移动应用程序)的API,那么它通常使用一个cookie来表示一个已经登录的用户。

一般的流程是:用户单击登录,进入登录页面,输入有效凭证后,服务器发送给用户浏览器的响应包含一个带有加密信息的 Set-Cookie 头。

cookie会被设置上domain 例如 blinkingcaret.com,每次浏览器向这个domain发送请求时,设置在这个domain上的cookie也会被带上。

在服务器上,cookie将被解密,然后使用解密后的内容来创建用户的 Identity

如果客户端是一个浏览器,这种方式将会非常非常适合。不过当我们的客户端是一个移动应用程序时候,那就另当别论了。

JWT

我们可以使用什么来代替cookie呢?没错就是token。token也代表用户,但是当我们使用它的时候,我们不再依赖于浏览器的内置机制以及用它和cookie打交道。

我们必须明确地向服务器要一个token,我们自己将它存储在某个地方,然后在每个请求发送时手动带上它。有一些方法可以使这个尽可能简单快捷,我会在后面讨论其中的一些方法。

我将在这里讨论的token格式是JWT

JWT代表Json Web Token。JWTtoken具有以下格式 base64-encoded-header.base64-encoded-payload.signature

一个heder的例子是

{
    “alg”: “HS265”,
    “typ”: “JWT”
}

payload包含一系列 claims,例如:

{
    "name": "Rui",
    "admin": true
}

最后,通过采用“base64(header).base64(payload)”创建签名,并使用头部指定的算法对签名其进行加密。例如 HMAC-SHA256。签名部分会用到一个存储在server上的密钥,这个密钥是不会发给客户端的。

下面是一个真正的JWT的例子:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoicnVpIiwic3ViIjoidGVzdCIsIm5iZiI6MTUwMzYxNDU4NSwiZXhwIjoxNTA2MDMzNzg1LCJpc3MiOiJibGlua2luZ2NhcmV0IHN0cyIsImF1ZCI6ImJsaW5raW5nY2FyZXQgYXBwIn0.F7PFoYcQXez3zV98BFKLpyON6d_1p-6IAeihZRSv0VM

你必须注意的是,JWT中包含的信息没有加密。为了获得有效payload,你只需要base64解码。你甚至可以从你的开发者工具控制台(例如在Chrome中)这样做。使用atob方法并将payload作为参数传递。你会得到解密后的JSON 。signature只能保证如果有人篡改了payload,那么signature将会失效。如果有人想成功替换有效载荷并生成有效的token,他们需要知道签名中使用的密钥,但是该密钥永远不会被发送到客户端。

所以,当你想往payload里放一些东西的时候,你一定要知道上面这些

译者注:就是不要把敏感信息放在payload里,比如:密码。

在 ASP.NET Core 中使用JWT

要在ASP.NET Core中使用JWT,我们需要知道如何手动创建JWTtoken,如何验证它们以及如何创建端点以便客户端应用程序可以获得它们。

如何创建JWTtoken

首先你需要安装nuget包System.IdentityModel.Tokens.Jwt

$ dotnet add package System.IdentityModel.Tokens.Jwt

然后创建一个密钥。我们将使用 symmetric key(译者注:对称密钥),代码如下:

var secretKey = new SymmetricSecurityKey(Endoding.UTF8.GetBytes("a secret that needs to be at least 16 characters long"));

译者注:a secret that needs to be at least 16 characters long=>一个至少需要16个字符的密码,在验证签名时还会用到。

我们的token将包含一组claims。所以让我们创建它们:

var claims = new Claim[] {
    new Claim(ClaimTypes.Name, "John"),
    new Claims(JwtRegisteredClaimNames.Email, "john.doe@blinkingcaret.com")
}

我已经使用了两种claim类型 :

  1. ClaimTypes(System.Security.Claims)
  2. JwtRegisteredClaimNames(System.IdentityModel.Tokens.Jwt)

要强调的是JwtRegisteredClaimNames包含在JWT RFC中列举的claims中。如果你打算使用不同编程语言或者框架生成的token,那么为了兼容性,你应该尽可能的使用这个。不过,有一些声明类型可以在ASP.NET中启用某些功能。例如,ClaimTypes.Name 是用户名(User.Identity.Name)的默认声明类型。另一个例子是ClaimTypes.Role,如果你在Authorize属性中使用Roles属性(例如[Authorize(Roles =“Administrator”)]),这个声明将会被检查用来确认权限。

在创建我们想要在token中编码的claims列表之后,我们可以创建token本身,代码如下:

var token = new JwtSecurityToken(
    issuer: "your app",
    audience: "the client of your app",
    claims: claims,
    notBefore: DateTime.Now,
    expires: DateTime.Now.AddDays(28),
    signingCredentials: new SigningCredentials(key, SecurityAlgorithms.HmacSha256)
);

这里有一些我之前没有提到的概念,即发issue,audience和expiration dates。

译者注: 发行者,受众/听众,过期时间

发行者表示生成token的实体,在这个例子里它是ASP.NET Core Web应用程序。audience代表将要使用这些token的实体,例如 client。如果你依靠第三方创建token(不是现在所要用到的),这个issue和audience是重要的。验证token时,你可以验证issue和audience。

notBefore 和 expire 定义了 token的有效时间区间,在notBefore之后expire之前。

最后在signedCredentials中指定使用哪个安全密钥和什么算法来创建签名。在这个例子中我们使用了HMAC-SHA256

如果你不关心issue和audience(在JWT规范中是可选的),你可以使用接受JwtSecurityHeader和JwtSecurityPayload的JwtSecurityToken的更简单的构造函数重载。不过你必须手动将expires和notBefore声明添加到有效内容中,例如:

var claims = new Claim[] {
    new Claim(ClaimTypes.Name, "John"),
    new Claims(JwtRegisteredClaimNames.Email, "john.doe@blinkingcaret.com"),
    new Claim(JwtRegisteredClaimNames.Exp, $"{new DateTimeOffset(DateTime.Now.AddDays(1)).ToUnixTimeSeconds()}"),
    new Claim(JwtRegisteredClaimNames.Nbf, $"{new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds()}")        
}

var token = new JwtSecurityToken(new JwtHeader(new SigningCredentials(key, SecurityAlgorithms.HmacSha256)), new JwtPayload(claims));

请注意Exp(expires)和Nbf(notBefore)声明的值是一个Unix时间的字符串。将DateTime转换为该格式的最简单方法是使用DateTimeOffset

在创建JwtSecurityToken的实例后,实际生成token的方法是调用JwtSecurityTokenHandler实例的WriteToken方法,并将JwtSecurityToken作为参数传递:

string jwtToken = new JwtSecurityTokenHandler().WriteToken(token);

创建获取token的端点

现在我们知道如何创建我们的JWT token了,我们还需要一种方法来让客户端获得它们。最简单的方法是创建一个期望发布请求的web api controller action 接受一个Post请求,例如下面的代码:

public class TokenController : Controller
{
    [Route("/token")]
    [HttpPost]        
    public IActionResult Create(string username, string password)
    {
        if (IsValidUserAndPasswordCombination(username, password))
            return new ObjectResult(GenerateToken(username));
        return BadRequest();
    }
//...

IsValidUserAndPasswordCombination中,你可以来验证用户的凭据例如使用例如ASP.NET Identity(如果你需要参考资料来学习ASP.NET Identity,你可以看这篇博客 ASP.NET Identity Core From Scratch)。

GenerateToken我们刚刚在上一节中描述过。

验证用户,并使其登陆

现在我们有了一种发行token的方法,我们还需要一种方法来验证它们。我们将使用ASP.NET Core的身份验证中间件,并将其配置为可接受JWT token。
Microsoft.AspNetCore.Authentication.JwtBearer NuGet包添加到你的项目。

$ dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer

接下来打开Startup.cs并更新ConfigureServices方法:

public void ConfigureServices(IServiceCollection services)
{
    //...
    services.AddAuthentication(options => {
        options.DefaultAuthenticateScheme = "JwtBearer";
        options.DefaultChallengeScheme = "JwtBearer";            
    })
    .AddJwtBearer("JwtBearer", jwtBearerOptions =>
    {                        
        jwtBearerOptions.TokenValidationParameters = new TokenValidationParameters
        {                            
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your secret goes here")),

            ValidateIssuer = true,
            ValidIssuer = "The name of the issuer",

            ValidateAudience = true,
            ValidAudience = "The name of the audience",

            ValidateLifetime = true, //validate the expiration and not before values in the token

            ClockSkew = TimeSpan.FromMinutes(5) //5 minute tolerance for the expiration date
        };
    });
}

如果你不熟悉ASP.NET Core的身份验证中间件,则建议你阅读External Login Providers in ASP.NET Core

即使是关于如何使用Google,Facebook等进行外部登陆提供程序登录,但是这篇博客也含有有关身份验证中间件如何工作的详细说明。

此外请注意,这是新的ASP.NET Core 2.0语法,其中通过ConfigureServices方法完全配置了身份验证,但概念是相同的。

译者注:External Login Providers in ASP.NET Core这篇博客在撰写的时候使用的是 Asp.Net Core 1.x。

在这个例子中更重要的是 TokenValidationParameters 类。这是你必须实例化的类,它将用来配置如何验证token。

在Startup.cs中,你需要更新Configure方法并添加身份验证中间件:

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    //...
    app.UseAuthentication(); //needs to be up in the pipeline, before MVC
    //...
    app.UseMvc(ConfigureRoutes);
//..

Client 客户端

web api客户端可以是桌面应用程序,移动设备甚至是浏览器。我将要描述的例子是Web应用程序的登录、保存token、然后使用它来执行对请求的认证。你可以在这里找到一个可以正常工作的例子

首先,为了能够登陆,你需要将用户名和密码发送POST请求到“/ token”(或者你设置的获取token的Web Api断点)。你可以很容易地使用jQuery来做到这一点:

$.post("/token", $.param({username: "the username", password: "the password"})).done(function(token){
    //save the token in local storage
    localStorage.setItem("token", token);
    //...
}).fail(handleError);

如果一切顺利,则可以将获得JWT token,然后你可以将其保存在某个位置,通常在Web应用程序中,我们将它保存到 local storage 中。在移动设备上则取决于你使用的平台,但它们都具有允许你保存token的功能(例如Android的SharedPreferences)。

对于上一节中的身份验证中间件,接受JWT token并将其转换为可以在控制器操作中访问的User,则该请求必须具有 Authorization header。header的值应该是“Bearer ”,然后是JWT token,例如:

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1l...

尽管你可以“手动”将授权标头添加到每个请求,但通常有自动执行的方法。例如jQuery中有一个时间可以允许你在发送请求之前做一些操作,例如在这里检查是否存在 token,如果有就加到Authentication头里。

$.ajaxSetup({
    beforeSend: function(xhr) {
        if (localStorage.getItem("token") !== null) {
            xhr.setRequestHeader('Authorization', 'Bearer ' + localStorage.getItem("token"));                      
        }
    }
});  

如果你使用其他框架,也有类似的机制,例如Angular有HttpInterceptors

最后,你只需要从本地存储中删除token即可注销:

localStorage.removeItem("token")

需要注意的一件事情是,如果客户端执行的操作需要用户进行身份验证,并且请求中没有(有效)授权标头,则服务器将返回带有401状态码的响应。该响应还将具有WWW-Authenticate:Bearer header。如果你收到这样的响应,则你可以通知用户需要验证身份。

全文完

原文出自Rui Figueiredo的博客,原文链接《Secure a Web Api in ASP.NET Core》

欢迎大家加入.NetCore学习交流群 群号:180537383

img_84192462e8433521d49224fb5db0186a.png

目录
相关文章
|
2天前
|
前端开发 API 开发者
从零到精通,AJAX与Fetch API让你的Python Web前后端交互无所不能!
从零到精通,AJAX与Fetch API让你的Python Web前后端交互无所不能!
11 3
|
11天前
|
开发框架 监控 前端开发
在 ASP.NET Core Web API 中使用操作筛选器统一处理通用操作
【9月更文挑战第27天】操作筛选器是ASP.NET Core MVC和Web API中的一种过滤器,可在操作方法执行前后运行代码,适用于日志记录、性能监控和验证等场景。通过实现`IActionFilter`接口的`OnActionExecuting`和`OnActionExecuted`方法,可以统一处理日志、验证及异常。创建并注册自定义筛选器类,能提升代码的可维护性和复用性。
|
11天前
|
开发框架 .NET 中间件
ASP.NET Core Web 开发浅谈
本文介绍ASP.NET Core,一个轻量级、开源的跨平台框架,专为构建高性能Web应用设计。通过简单步骤,你将学会创建首个Web应用。文章还深入探讨了路由配置、依赖注入及安全性配置等常见问题,并提供了实用示例代码以助于理解与避免错误,帮助开发者更好地掌握ASP.NET Core的核心概念。
30 3
|
1月前
|
存储 API 数据库
如何使用 ef core 的 code first(fluent api)模式实现自定义类型转换器?
本文介绍了如何在 EF Core 的 Code First 模式下使用自定义类型转换器实现 JsonDocument 和 DateTime 类型到 SQLite 数据库的正确映射。通过自定义 ValueConverter,实现了数据类型的转换,并展示了完整的项目结构和代码实现,包括实体类定义、DbContext 配置、Repositories 仓储模式及数据库应用迁移(Migrations)操作。
53 6
如何使用 ef core 的 code first(fluent api)模式实现自定义类型转换器?
|
17天前
|
安全 API 开发者
Web 开发新风尚!Python RESTful API 设计与实现,让你的接口更懂开发者心!
在当前的Web开发中,Python因能构建高效简洁的RESTful API而备受青睐,大大提升了开发效率和用户体验。本文将介绍RESTful API的基本原则及其在Python中的实现方法。以Flask为例,演示了如何通过不同的HTTP方法(如GET、POST、PUT、DELETE)来创建、读取、更新和删除用户信息。此示例还包括了基本的路由设置及操作,为开发者提供了清晰的API交互指南。
69 6
|
16天前
|
存储 JSON API
实战派教程!Python Web开发中RESTful API的设计哲学与实现技巧,一网打尽!
在数字化时代,Web API成为连接前后端及构建复杂应用的关键。RESTful API因简洁直观而广受欢迎。本文通过实战案例,介绍Python Web开发中的RESTful API设计哲学与技巧,包括使用Flask框架构建一个图书管理系统的API,涵盖资源定义、请求响应设计及实现示例。通过准确使用HTTP状态码、版本控制、错误处理及文档化等技巧,帮助你深入理解RESTful API的设计与实现。希望本文能助力你的API设计之旅。
41 3
|
17天前
|
JSON API 数据库
从零到英雄?一篇文章带你搞定Python Web开发中的RESTful API实现!
在Python的Web开发领域中,RESTful API是核心技能之一。本教程将从零开始,通过实战案例教你如何使用Flask框架搭建RESTful API。首先确保已安装Python和Flask,接着通过创建一个简单的用户管理系统,逐步实现用户信息的增删改查(CRUD)操作。我们将定义路由并处理HTTP请求,最终构建出功能完整的Web服务。无论是初学者还是有经验的开发者,都能从中受益,迈出成为Web开发高手的重要一步。
40 4
|
15天前
|
开发框架 JSON 缓存
震撼发布!Python Web开发框架下的RESTful API设计全攻略,让数据交互更自由!
在数字化浪潮推动下,RESTful API成为Web开发中不可或缺的部分。本文详细介绍了在Python环境下如何设计并实现高效、可扩展的RESTful API,涵盖框架选择、资源定义、HTTP方法应用及响应格式设计等内容,并提供了基于Flask的示例代码。此外,还讨论了版本控制、文档化、安全性和性能优化等最佳实践,帮助开发者实现更流畅的数据交互体验。
36 1
|
17天前
|
JSON API 开发者
惊!Python Web开发新纪元,RESTful API设计竟能如此性感撩人?
在这个Python Web开发的新纪元里,RESTful API的设计已经超越了简单的技术实现,成为了一种追求极致用户体验和开发者友好的艺术表达。通过优雅的URL设计、合理的HTTP状态码使用、清晰的错误处理、灵活的版本控制以及严格的安全性措施,我们能够让RESTful API变得更加“性感撩人”,为Web应用注入新的活力与魅力。
35 3
|
19天前
|
JSON API 数据格式
深度剖析!Python Web 开发中 RESTful API 的每一个细节,你不可不知的秘密!
在 Python Web 开发中,RESTful API 是构建强大应用的关键,基于 Representational State Transfer 架构风格,利用 HTTP 卞性能。通过 GET、POST、PUT 和 DELETE 方法分别实现资源的读取、创建、更新和删除操作。示例代码展示了如何使用 Flask 路由处理这些请求,并强调了状态码的正确使用,如 200 表示成功,404 表示未找到资源等。
40 5