ASP.NET Core 2.0利用Jwt實現授權認證

背景

在微服務架構下，一般都會按不同的業務或功能將整個系統切分成不同的獨立子系統，再通過REST API或RPC進行通訊並相互調用，形成各個子系統之間的串聯結構。在這裡，我們將採用REST API的通訊方式。

比如：

1、有一個“用戶中心”獨立子系統名為“Lezhima.UserHub”，是一個基於ASP.NET Core mvc 2.0的項目。

2、有一個處理用戶訂單的獨立子系統名為“Lezhima.UserOrder”，是一個基於ASP.NET Core webp api 2.0的項目。

3、同時還有一個處理用戶文件上傳的獨立子系統名為“Lezhima.UserUpload”，是一個基於ASP.NET Core webp api 2.0的項目。

業務關係如下：

用戶成功登錄後進入“Lezhima.UserHub”，在用戶查看訂單時通過前端Ajax調用“Lezhima.UserOrder”的web api介面，在用戶上傳圖片是通過前端Ajax調用“Lezhima.UserUpload”的web api介面。

至此，我們瞭解了上面的業務關係後，心裡一定產生出如下兩個問題：

1、如何保障“Lezhima.UserOrder”與“Lezhima.UserUpload”兩個獨立系統內的web api介面安全，因為它們已經被暴露在了前端。

2、如何在“Lezhima.UserHub”站頒發Token。

那麼，帶著問題我們下麵就結合ASP.NET Core 自帶的Jwt技術來討論具體的實現（也許聰明的你有更好的解決方法，請一定告知我，謝謝）。

Jwt 全名為：JSON Web Token，是一個很成熟的技術，園子里也有很多這方面的知識，我這裡就不再重述了。

 實現原理

“Lezhima.UserHub”站因為已經做了登錄驗證，我們暫且認為它是可信的，所以在前端Ajax請求“Lezhima.UserOrder”站的web api介面時先到自已後端去生成一個Token，並隨之同本次跨站請求一塊攜帶至“Lezhima.UserOrder”站，“Lezhima.UserOrder”站驗證請求頭中的Token是否合法，如合法則繼續路由到具體方法中，否則結束請求。“Lezhima.UserUpload”站原理與“Lezhima.UserOrder”相同。

實現代碼

Lezhima.UserHub頒發Token代碼：

        /// <summary>
        /// 頒發一個指定有效期的Token，並將當前登錄的用戶id傳遞進來		
        /// </summary>
        /// <param name="currentUserId"></param>
        /// <param name="expiresMinutes"></param>
        /// <returns></returns>
	  public static async Task<string> GetAccessToken(string currentUserId,int expiresMinutes=2)
        {
            return await Task.Run(() =>
            {
				//約定私鑰，下麵三個參數可放到配置文件中				
                var secret = "NGUzNmNlNzQtZThkZC00YjRh";
				//發行者
                var iss = "Andre";
				//接受者
                var aud = "Andre";

                if (string.IsNullOrEmpty(secret) || string.IsNullOrEmpty(iss) || string.IsNullOrEmpty(aud))
                    return "";

                if (string.IsNullOrEmpty(currentUserId))
                    currentUserId = Guid.NewGuid().ToString();

                var now = DateTime.UtcNow;
                var claims = new Claim[]
                {
                    new Claim(JwtRegisteredClaimNames.Sub, currentUserId),
                    new Claim(JwtRegisteredClaimNames.Iat, now.ToUniversalTime().ToString(), ClaimValueTypes.Integer64)
                };
                var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(secret));
                var jwt = new JwtSecurityToken(
                       issuer: iss,
                       audience: aud,
                       claims: claims,
                       notBefore: now,
                       expires: now.Add(TimeSpan.FromMinutes(expiresMinutes)),
                       signingCredentials: new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256)
                 );
                return new JwtSecurityTokenHandler().WriteToken(jwt);  //生成一個新的token
            });           
        }

Lezhima.UserHub前端Ajax跨站請求代碼：

//封裝一個Ajax請求公共方法
function GetWebDataByObject(url, requestMethon, paramter) {
    jQuery.support.cors = true;
    apiUrl = 'http://127.0.0.1:8012/';
    var token = GetToken(); //調用本站內的Token頒發Web api介面 
    var result = [];
    $.ajax({
        type: requestMethon,
        url: apiUrl + url,
        data: paramter,
        async: false,
        beforeSend: function (xhr) {
			//將Token攜帶到請求頭中
            xhr.setRequestHeader("Authorization", "Bearer " + token);
        },  
        success: function (data) {
            result = data;
        },
        error: function (XMLHttpRequest, textStatus, errorThrown) {
            // 狀態碼
            console.log(XMLHttpRequest.status);
            // 狀態
            console.log(XMLHttpRequest.readyState);
            // 錯誤信息   
            console.log(textStatus);
        }
    });
    return result;
}

“Lezhima.UserOrder”站開啟Jwt的Token驗證，在Startup.cs里添加如下代碼：

        public IServiceProvider ConfigureServices(IServiceCollection services)
        {            
            services.AddCors();
			
			//從配置文件中獲取私鑰、發行者、接受者三個參數
			//三個參數的值必需與頒發Token站相同
            var audienceConfig = Configuration.GetSection("Audience");

            var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(audienceConfig["Secret"]));
            var tokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = signingKey,
                ValidateIssuer = true,
                ValidIssuer = audienceConfig["Iss"],
                ValidateAudience = true,
                ValidAudience = audienceConfig["Aud"],
                ValidateLifetime = true,
                ClockSkew = TimeSpan.Zero,
                RequireExpirationTime = true,
            };
			//註入Jwt驗證
            services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
                .AddJwtBearer(options => {
                    options.RequireHttpsMetadata = false;
                    options.TokenValidationParameters = tokenValidationParameters;
                });

            services.AddMvc();


            var builder = new ContainerBuilder();
            builder.RegisterModule(new Evolution());
            builder.Populate(services);
            var container = builder.Build();
            return container.Resolve<IServiceProvider>();
        }

        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            app.UseCors(builder =>
              builder.WithOrigins("*")
              .AllowAnyHeader()
              .AllowAnyMethod()
              .AllowCredentials()
            );         
            //開啟驗證
            app.UseAuthentication();
            app.UseMvc();
        }

“Lezhima.UserOrder”站內的控制器里添加驗證過濾器[Authorize]，如下代碼：

    [Route("api/[Controller]")]
    //添加過濾器後，該控制器內所有Action都將進行Token驗證
    [Authorize]
    public class OrderController : Controller
    {
        
    }

至此，基於ASP.NET Core的Jwt跨站驗證Token方案就全部完成了，是不是很簡單呀^_^  ^_^