今天我們來聊一聊關於JWT授權的事情。 JWT:Json Web Token。顧名思義,它是一種在Web中,使用Json來進行Token授權的方案。 既然沒有找好密碼,token是如何解決信任問題的呢? 解決信任問題,只需要解決兩個問題即可: token是不是來自我信任的機構頒發 token中的信息 ...
今天我們來聊一聊關於JWT授權的事情。
JWT:Json Web Token。顧名思義,它是一種在Web中,使用Json來進行Token授權的方案。
既然沒有找好密碼,token是如何解決信任問題的呢?
解決信任問題,只需要解決兩個問題即可:
token是不是來自我信任的機構頒發
token中的信息是否被篡改
對於第一個問題而言,確認token確實是由被信任的第三方頒發的,一般都是通過加密演算法來建立信任,頒發時使用密鑰進行加密,如果能夠對加密內容進行正常解密說明token來自信任方。常用的加密演算法分為:
對稱可逆加密:使用同一個秘鑰來加密解密,如果token能解密就能證明來源,秘鑰不對外公開
非對稱可逆加密:使用一組秘鑰對(私鑰加密+公鑰解密),如果token能使用公鑰進行解密就能證明來源,公鑰與私鑰之間互相不可推算
優缺點:
對稱可逆加密效率高,速度快,但是由於對稱可逆加密使用的是同一個秘鑰,所以必須向解密的應用提供秘鑰,相對而言不安全,所以一般只用於內部應用之間。
非對稱可逆加密速度相對慢一些,但是加密時通過私鑰加密而解密時只需要提供公鑰即可,所以用於對外提供加密機制更加安全可靠,所以多用於向第三方提供加密服務時使用。
演算法舉例:
HS256
HS256 (帶有 SHA-256 的 HMAC 是一種對稱演算法, 雙方之間僅共用一個 密鑰。由於使用相同的密鑰生成簽名和驗證簽名, 因此必須註意確保密鑰不被泄密。
2 RS256
RS256 (採用SHA-256 的 RSA 簽名) 是一種非對稱演算法, 它使用公共/私鑰對: 標識提供方採用私鑰生成簽名, JWT 的使用方獲取公鑰以驗證簽名。由於公鑰 (與私鑰相比) 不需要保護, 因此大多數標識提供方使其易於使用方獲取和使用 (通常通過一個元數據URL)。
JWT格式說明
| JWT令牌格式 | 作用 | |
| Header | 頭 | { "alg": "HS256", "typ": "JWT"} |
| Payload | 有效載荷 | 使用base64進行序列化,任何人都可以讀到,所以不要包含敏感信息 |
| Signature | 簽名 |
防止抵賴-防止篡改,一旦頭和有效載荷有內容被篡改,則生成簽名部分必將與原內容不同 =HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) |
JWT如何解決信任問題的呢?
將簽名部分使用秘鑰進行解密,如果可以正常解開,說明令牌來自信任方頒發,將解密後的內容與JWT的頭部和有效載荷的base64編碼內容對比是否一致,如果一致,說明令牌未被篡改。也就解決了token信任的第二個問題。
演算法實現:
下麵是使用上述的兩種加密演算法生成的jwt
HS256演算法實現
1 public string GetToken(UserInfoDTO userInfo) 2 { 3 string secretKey = _configuration["SercetKey"]; 4 var signingCredentials = new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secretKey)), SecurityAlgorithms.HmacSha256); 5 6 var claims = new Claim[] { 7 new Claim("id",userInfo.Id.ToString()), 8 new Claim("age",userInfo.Age.ToString()), 9 new Claim("name",userInfo.Name), 10 new Claim("mobile",userInfo.Mobile), 11 new Claim("email",userInfo.EMail), 12 new Claim("role",userInfo.Role), 13 }; 14 15 var token = new JwtSecurityToken( 16 issuer: _configuration["Issuer"], //發行人 17 audience: _configuration["Audience"], //受眾人 18 claims: claims, 19 expires: DateTime.UtcNow.AddMinutes(2),//60分鐘有效期 20 notBefore: DateTime.UtcNow.AddMinutes(1),//1分鐘後有效 21 signingCredentials: signingCredentials); 22 string returnToken = new JwtSecurityTokenHandler().WriteToken(token); 23 return returnToken; 24 }
RSA256演算法實現
1 public string GetToken(UserInfoDTO userInfo) 2 { 3 string filepath = Directory.GetCurrentDirectory(); 4 RSAParameters rSAParameter = default(RSAParameters); 5 //沒有生成過私鑰文件,就創建,否則讀取私鑰 6 if (!File.Exists(Path.Combine(filepath, "key.private.json"))) 7 { 8 rSAParameter = GenerateAndSaveKey(filepath); 9 } 10 else 11 { 12 rSAParameter = JsonConvert.DeserializeObject<RSAParameters>(File.ReadAllText(Path.Combine(filepath, "key.private.json"))); 13 } 14 15 var signingCredentials = new SigningCredentials(new RsaSecurityKey(rSAParameter), SecurityAlgorithms.RsaSha256); 16 var claims = new Claim[] { 17 new Claim("id",userInfo.Id.ToString()), 18 new Claim("age",userInfo.Age.ToString()), 19 new Claim("name",userInfo.Name), 20 new Claim("mobile",userInfo.Mobile), 21 new Claim("email",userInfo.EMail), 22 new Claim("role",userInfo.Role), 23 }; 24 25 var token = new JwtSecurityToken( 26 issuer: _configuration["Issuer"], //發行人 27 audience: _configuration["Audience"], //受眾人 28 claims: claims, 29 expires: DateTime.UtcNow.AddMinutes(60),//60分鐘有效期 30 notBefore: DateTime.UtcNow.AddMinutes(1),//1分鐘後有效 31 signingCredentials: signingCredentials); 32 string returnToken = new JwtSecurityTokenHandler().WriteToken(token); 33 return returnToken; 34 }
在postman中請求:
將返回的jwt拿到jwt官網解析即可看到已經包含了我們需要傳遞的內容。因為jwt中傳遞的內容可以被看到,所以一定不要傳遞類似密碼這類敏感信息
創建一個webapi項目,作為受保護的資源,開啟許可權認證,並使用jwt作為鑒權方式
1 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) 2 .AddJwtBearer(configureOptions => 3 { 4 configureOptions.TokenValidationParameters = new TokenValidationParameters 5 { 6 ValidAudience = Configuration["Audience"], 7 ValidateAudience = true, 8 ValidIssuer = Configuration["Issuer"], 9 ValidateIssuer = true, 10 ValidateLifetime = false, 11 LifetimeValidator = (notBefore, expires, securityToken, validationParameters) => { 12 DateTime now = DateTime.UtcNow; 13 if (now.CompareTo(notBefore) < 0 || now.CompareTo(expires) > 0) 14 return false; 15 return true; 16 }, 17 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["SercetKey"])), //對稱加密方式,獲取密鑰 18 //IssuerSigningKey = new RsaSecurityKey(GetPulicKey()), //非對稱加密方式,獲取第三方提供的公鑰 19 ValidateIssuerSigningKey = true, 20 21 }; 22 });
不傳遞token請求受保護的api,則會返回401
加上獲取的token,則可以正常請求
項目源碼鏈接: https://pan.baidu.com/s/1u9Lu7rLq7swSXOdV_sNh-g?pwd=mxfg
本文來自博客園,作者:EdisonXie,轉載請註明原文鏈接:https://www.cnblogs.com/XFlyMan/p/16482674.html
