ASP.NET Core的JWT的實現（中間件）.md

既然選擇了遠方，便只顧風雨兼程 __ HANS許

• • • • JWT(JSON Web Token)
        • ASP.NET Core 的Middleware實現

引言：挺久沒更新了，之前做了Vue的系列，後面想做做服務端的系列，上下銜接，我們就講講WebApi(網路應用程式介面),介面免不了用戶認證，所以接下來我們的主題系列文章便是“基於ASP.NET Core的用戶認證”，分為市面上流行的JWT(JSON WebToken)與OAuth2(開放授權)

JWT(JSON Web Token)

• 什麼叫JWT
  JSON Web Token（JWT）是目前最流行的跨域身份驗證解決方案。

  一般來說，互聯網用戶認證是這樣子的。

  1、用戶向伺服器發送用戶名和密碼。
  2、伺服器驗證通過後，在當前對話（session）裡面保存相關數據，比如用戶角色、登錄時間等等。
  3、伺服器向用戶返回一個 session_id，寫入用戶的 Cookie。
  4、用戶隨後的每一次請求，都會通過 Cookie，將 session_id 傳回伺服器。
  5、伺服器收到 session_id，找到前期保存的數據，由此得知用戶的身份。

  伺服器需要保存session，做持久化，這種模式沒有分散式架構，無法支持橫向擴展，如果真的要的話就必須採用分散式緩存來進行管理Seesion。那JWT相反，它保存的是在客戶端，每次請求都將JWT代入伺服器，進行簽名，許可權驗證。JWT由客戶端請求，服務端生成，客戶端保存，服務端驗證。

• JWT的原理與格式

  1. 原理
     在上面，我們也講過了，簡單的來說，我們將伺服器需要驗證我們的條件(賬戶，密碼等等)，發給伺服器，伺服器認證通過，生成一個JSON對象返回給我們，例如下麵。當然，為了防止被篡改，所以我們會將對象加密，再次請求伺服器，需要將jwt放在請求頭部，傳遞給伺服器，來判斷許可權等等。

     1. { 

        ---

     2. "姓名": "張三", 

        ---

     3. "角色": "管理員", 

        ---

     4. "到期時間": "2018年7月1日0點0分" 

        ---

     5. } 

        ---

  2. 格式

     • 實際格式
     1. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. 

        ---

     2. eyJBIjoiQUFBQSIsIkIiOiJCQkJCIiwiQyI6IkNDQ0MiLCJ1ZXIiOiJ4dWh1YWxlIiwib3BlbmlkIjoiNTE1NjEzMTM1MTYzMjEiLCJmZiI6ImRmc2RzZGZzZGZzZHMiLCJuYmYiOjE1NTIyMTE4NjAsImV4cCI6MTU1MjIxMzY2MH0. 

        ---

     3. 16m57YnnIcgIth25dwphQKPYuIq42BVmZV6LIBO7KDg 

        ---

     它是一個很長的字元串，中間用點（.）分隔成三個部分。註意，JWT內部是沒有換行的，這裡只是為了便於展示，將它寫成了幾行。JWT 的三個部分依次如下。

     • Header（頭部）
     • Payload（負載）
     • Signature（簽名）

     簡單講下，Header描述加密演算法與token類型，Payload描述的是實際需要傳遞的數據，如失效時間，簽發人等等，Signature描述的是一段對於前面兩部部分的簽名，當然秘鑰只有伺服器才知道。

簡單的介紹下JWT，更多的話，可以這邊文章看看。我們著重講下實現。

ASP.NET Core 的Middleware實現

1. 創建JWT
   首先我們要先創建token，畢竟這個是最重要的。Core自帶JWT幫助類，所以我們按照幫助類的意思來寫個方法創建token。

   1. public string CreateJsonWebToken(Dictionary<string, string> payLoad) 

      ---

   2. { 

      ---

   3. if (string.IsNullOrWhiteSpace(setting.SecurityKey)) 

      ---

   4. { 

      ---

   5. throw new ArgumentNullException("JsonWebTokenSetting.securityKey", 

      ---

   6. "securityKey為NULL或空字元串。請在\"appsettings.json\"配置\"JsonWebToken\"節點及其子節點\"securityKey\""); 

      ---

   7. } 

      ---

   8. var now = DateTime.UtcNow; 

      ---

   9.  

      ---

   10. // Specifically add the jti (random nonce), iat (issued timestamp), and sub (subject/user) claims. 

       ---

   11. // You can add other claims here, if you want: 

       ---

   12. var claims = new List<Claim>(); 

       ---

   13. foreach (var key in payLoad.Keys) 

       ---

   14. { 

       ---

   15. var tempClaim = new Claim(key, payLoad[key]?.ToString()); 

       ---

   16. claims.Add(tempClaim); 

       ---

   17. } 

       ---

   18.  

       ---

   19. // Create the JWT and write it to a string 

       ---

   20. var jwt = new JwtSecurityToken( 

       ---

   21. issuer: null, 

       ---

   22. audience: null, 

       ---

   23. claims: claims, 

       ---

   24. notBefore: now, 

       ---

   25. expires: now.Add(TimeSpan.FromMinutes(setting.ExpiresMinute)), 

       ---

   26. signingCredentials: new SigningCredentials(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(setting.SecurityKey)), SecurityAlgorithms.HmacSha256)); 

       ---

   27. var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt); 

       ---

   28. return encodedJwt; 

       ---

   29. } 

       ---

   從方法我們看到，我們傳入的是負載這個片段，而失效時間與秘鑰我們是放在了appsettings.json來進行配置的。使用DI來獲取配置文件中的節點值。

2. 編寫中間件
   我們都知道，中間件是Core的管道模型組成部分，所以我們在中間件做驗證，來判斷每次請求用戶是有有許可權是有該WebApi或者其他API。

   1. 中間件
      1. public JwtCustomerAuthorizeMiddleware(RequestDelegate next, IOptions<JsonWebTokenSetting> options, IJsonWebTokenValidate jsonWebTokenValidate, Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad, List<string> anonymousPathList) 

         ---

      2. { 

         ---

      3. this._next = next; 

         ---

      4. this._setting = options.Value; 

         ---

      5. this._jsonWebTokenValidate = jsonWebTokenValidate; 

         ---

      6. this._validatePayLoad = validatePayLoad; 

         ---

      7. this._anonymousPathList = anonymousPathList; 

         ---

      8. } 

         ---

      9.  

         ---

      10. public async Task Invoke(HttpContext context) 

          ---

      11. { 

          ---

      12. //JsonWebTokenValidate 

          ---

      13. //若是路徑可以匿名訪問，直接跳過 

          ---

      14. if (_anonymousPathList.Contains(context.Request.Path.Value)) 

          ---

      15. { 

          ---

      16. //還未驗證 

          ---

      17. await _next(context); 

          ---

      18. return; 

          ---

      19. } 

          ---

      20. var result = context.Request.Headers.TryGetValue("Authorization", out StringValues authStr); 

          ---

      21. if (!result || string.IsNullOrEmpty(authStr.ToString())) 

          ---

      22. { 

          ---

      23. throw new UnauthorizedAccessException("未授權，請傳遞Header頭的Authorization參數。"); 

          ---

      24. } 

          ---

      25.  

          ---

      26. //進行驗證與自定義驗證 

          ---

      27. result = _jsonWebTokenValidate.Validate(authStr.ToString().Substring("Bearer ".Length).Trim() 

          ---

      28. , _setting, _validatePayLoad); 

          ---

      29. if (!result) 

          ---

      30. { 

          ---

      31. throw new UnauthorizedAccessException("驗證失敗，請查看傳遞的參數是否正確或是否有許可權訪問該地址。"); 

          ---

      32. } 

          ---

      33.  

          ---

      34. await _next(context); 

          ---

      35. } 

          ---

   從代碼來看，anonymousPathList是URL路徑，若是在這個List內的URL，便可直接跳過驗證，
   接著將authStrtoken代入驗證函數，validatePayLoad卻是我們自代入的委托函數，用於伺服器自定義驗證。

   2. 驗證
      驗證方法，我只是做了簽名驗證與時間驗證。並沒有定得死死的，讓用戶自由度的去進行驗證。
      1. public bool Validate(string encodeJwt, JsonWebTokenSetting setting, Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad) 

         ---

      2. { 

         ---

      3. if (string.IsNullOrWhiteSpace(setting.SecurityKey)) 

         ---

      4. { 

         ---

      5. throw new ArgumentNullException("JsonWebTokenSetting.securityKey", 

         ---