1 什麼是JWT?
JWT是一種用于雙方之間傳遞安全資訊的簡潔的、URL安全的表述性聲明規範。JWT作為一個開放的标準(RFC 7519),定義了一種簡潔的,自包含的方法用于通信雙方之間以Json對象的形式安全的傳遞資訊。因為數字簽名的存在,這些資訊是可信的,JWT可以使用HMAC算法或者是RSA的公私秘鑰對進行簽名。簡潔(Compact): 可以通過URL,POST參數或者在HTTP header發送,因為資料量小,傳輸速度也很快 自包含(Self-contained):負載中包含了所有使用者所需要的資訊,避免了多次查詢資料庫
2 JWT 的應用場景是什麼?
身份認證在這種場景下,一旦使用者完成了登陸,在接下來的每個請求中包含JWT,可以用來驗證使用者身份以及對路由,服務和資源的通路權限進行驗證。由于它的開銷非常小,可以輕松的在不同域名的系統中傳遞,所有目前在單點登入(SSO)中比較廣泛的使用了該技術。 資訊交換在通信的雙方之間使用JWT對資料進行編碼是一種非常安全的方式,由于它的資訊是經過簽名的,可以確定發送者發送的資訊是沒有經過僞造的
3 JWT的結構
JWT包含了使用.分隔的三部分: Header 頭部 Payload 負載 Signature 簽名
其結構看起來是這樣的Header.Payload.Signature
Header
在header中通常包含了兩部分:token類型和采用的加密算法。{ "alg": "HS256", "typ": "JWT"} 接下來對這部分内容使用 Base64Url 編碼組成了JWT結構的第一部分。
Payload
Token的第二部分是負載,它包含了claim, Claim是一些實體(通常指的使用者)的狀态和額外的中繼資料,有三種類型的claim:reserved, public 和 private.Reserved claims: 這些claim是JWT預先定義的,在JWT中并不會強制使用它們,而是推薦使用,常用的有 iss(簽發者),exp(過期時間戳), sub(面向的使用者), aud(接收方), iat(簽發時間)。 Public claims:根據需要定義自己的字段,注意應該避免沖突 Private claims:這些是自定義的字段,可以用來在雙方之間交換資訊 負載使用的例子:{ "sub": "1234567890", "name": "John Doe", "admin": true} 上述的負載需要經過Base64Url編碼後作為JWT結構的第二部分。
Signature
建立簽名需要使用編碼後的header和payload以及一個秘鑰,使用header中指定簽名算法進行簽名。例如如果希望使用HMAC SHA256算法,那麼簽名應該使用下列方式建立: HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) 簽名用于驗證消息的發送者以及消息是沒有經過篡改的。 完整的JWT 完整的JWT格式的輸出是以. 分隔的三段Base64編碼,與SAML等基于XML的标準相比,JWT在HTTP和HTML環境中更容易傳遞。 下列的JWT展示了一個完整的JWT格式,它拼接了之前的Header, Payload以及秘鑰簽名:
4 如何使用JWT?
在身份鑒定的實作中,傳統方法是在服務端存儲一個session,給用戶端傳回一個cookie,而使用JWT之後,當使用者使用它的認證資訊登陸系統之後,會傳回給使用者一個JWT,使用者隻需要本地儲存該token(通常使用local storage,也可以使用cookie)即可。 當使用者希望通路一個受保護的路由或者資源的時候,通常應該在Authorization頭部使用Bearer模式添加JWT,其内容看起來是下面這樣:Authorization: Bearer <token>
因為使用者的狀态在服務端的記憶體中是不存儲的,是以這是一種無狀态的認證機制。服務端的保護路由将會檢查請求頭Authorization中的JWT資訊,如果合法,則允許使用者的行為。由于JWT是自包含的,是以減少了需要查詢資料庫的需要。 JWT的這些特性使得我們可以完全依賴其無狀态的特性提供資料API服務,甚至是建立一個下載下傳流服務。因為JWT并不使用Cookie的,是以你可以使用任何域名提供你的API服務而不需要擔心跨域資源共享問題(CORS)。 下面的序列圖展示了該過程:
5 為什麼要使用JWT?
相比XML格式,JSON更加簡潔,編碼之後更小,這使得JWT比SAML更加簡潔,更加适合在HTML和HTTP環境中傳遞。 在安全性方面,SWT隻能夠使用HMAC算法和共享的對稱秘鑰進行簽名,而JWT和SAML token則可以使用X.509認證的公私秘鑰對進行簽名。與簡單的JSON相比,XML和XML數字簽名會引入複雜的安全漏洞。 因為JSON可以直接映射為對象,在大多數程式設計語言中都提供了JSON解析器,而XML則沒有這麼自然的文檔-對象映射關系,這就使得使用JWT比SAML更友善
6 在NetCore WebApi中怎麼用?
WebAPI使用NetCore2.1建立,無身份認證資訊
Startup.cs中的Configure方法中配置使用Authentication
1 app.UseAuthentication();
接下來我們需要建立一個檔案夾Models,在檔案夾下面建立一個類JwtSettings.cs
1 public class JwtSettings
2 {
3 //token是誰頒發的
4 public string Issuer { get; set; }
5 //token可以給哪些用戶端使用
6 public string Audience { get; set; }
7 //加密的key
8 public string SecretKey{get;set;}
9
10 }
然後我們需要在appsettings.json中配置jwt參數的值 【注意】 SecretKey必須大于16個,是大于,不是大于等于
1 {
2 "Logging": {
3 "IncludeScopes": false,
4 "Debug": {
5 "LogLevel": {
6 "Default": "Warning"
7 }
8 },
9 "Console": {
10 "LogLevel": {
11 "Default": "Warning"
12 }
13 }
14 },
15
16 "JwtSettings":{
17 "Issuer":"http://localhost:44319",
18 "Audience":"http://localhost:44319",
19 "SecretKey":"Hello-key-----ztb"
20 }
21 }
這時候我們重新回到Startup.cs的ConfigureServices方法下,将appsettings.json中的檔案讀取到JwtSettings中,進行Bind,然後設定jwt參數
1 public void ConfigureServices(IServiceCollection services)
2 {
3 //将appsettings.json中的JwtSettings部分檔案讀取到JwtSettings中,這是給其他地方用的
4 services.Configure<JwtSettings>(Configuration.GetSection("JwtSettings"));
5
6 //由于初始化的時候我們就需要用,是以使用Bind的方式讀取配置
7 //将配置綁定到JwtSettings執行個體中
8 var jwtSettings=new JwtSettings();
9 Configuration.Bind("JwtSettings",jwtSettings);
10
11 services.AddAuthentication(options=>{
12 //認證middleware配置
13 options.DefaultAuthenticateScheme=JwtBearerDefaults.AuthenticationScheme;
14 options.DefaultChallengeScheme=JwtBearerDefaults.AuthenticationScheme;
15 })
16 .AddJwtBearer(o=>{
17 //主要是jwt token參數設定
18 o.TokenValidationParameters=new Microsoft.IdentityModel.Tokens.TokenValidationParameters{
19 //Token頒發機構
20 ValidIssuer =jwtSettings.Issuer,
21 //頒發給誰
22 ValidAudience =jwtSettings.Audience,
23 //這裡的key要進行加密,需要引用Microsoft.IdentityModel.Tokens
24 IssuerSigningKey=new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSettings.SecretKey))
25 //ValidateIssuerSigningKey=true,
26 ////是否驗證Token有效期,使用目前時間與Token的Claims中的NotBefore和Expires對比
27 //ValidateLifetime=true,
28 ////允許的伺服器時間偏移量
29 //ClockSkew=TimeSpan.Zero
30
31 };
32 });
33
34
35 services.AddMvc();
36 }
如果我們需要安裝nuget包的話,隻要在【檢視】-》【指令面闆】中輸入NuGet Package Manager,即可進入package安裝,輸入Microsoft.AspNetCore.Authentication.JwtBearer即可進行安裝
首先我們建立一個ViewModel檔案夾,并在ViewModel檔案夾下面建立LoginViewModel.cs
1 using System.ComponentModel.DataAnnotations;
2
3 namespace JwtAuthSample
4 {
5 public class LoginViewModel
6 {
7 //使用者名
8 [Required]
9 public string User { get; set; }
10 //密碼
11 [Required]
12 public string Password { get; set; }
13
14 }
15 }
接下來在Controllers檔案夾下建立控制器AuthorizeController.cs,完整代碼如下
1 using System;
2 using System.Collections.Generic;
3 using System.Linq;
4 using System.Threading.Tasks;
5 using Microsoft.AspNetCore.Mvc;
6
7 //引用命名空間
8 using System.Security.Claims;
9 using Microsoft.IdentityModel.Tokens;
10 using Microsoft.Extensions.Options;
11 using System.Text;
12 using System.IdentityModel.Tokens.Jwt;
13
14 namespace JwtAuthSample.Controllers
15 {
16 [Route("api/[controller]")]
17 public class AuthorizeController : Controller
18 {
19 private JwtSettings _jwtSettings;
20
21 public AuthorizeController(IOptions<JwtSettings> _jwtSettingsAccesser)
22 {
23 _jwtSettings=_jwtSettingsAccesser.Value;
24 }
25
26 [HttpPost]
27 public IActionResult Token([FromBody]LoginViewModel viewModel)
28 {
29 if(ModelState.IsValid)//判斷是否合法
30 {
31 if(!(viewModel.User=="ztb"&&viewModel.Password=="123456"))//判斷賬号密碼是否正确
32 {
33 return BadRequest();
34 }
35
36
37 var claim=new Claim[]{
38 new Claim(ClaimTypes.Name,"ztb"),
39 new Claim(ClaimTypes.Role,"admin")
40 };
41
42 //對稱秘鑰
43 var key=new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_jwtSettings.SecretKey));
44 //簽名證書(秘鑰,加密算法)
45 var creds=new SigningCredentials(key,SecurityAlgorithms.HmacSha256);
46
47 //生成token [注意]需要nuget添加Microsoft.AspNetCore.Authentication.JwtBearer包,并引用System.IdentityModel.Tokens.Jwt命名空間
48 var token=new JwtSecurityToken(_jwtSettings.Issuer,_jwtSettings.Audience,claim,DateTime.Now,DateTime.Now.AddMinutes(30),creds);
49
50 return Ok(new {token=new JwtSecurityTokenHandler().WriteToken(token)});
51
52 }
53
54 return BadRequest();
55 }
56 }
57 }
PostMan測試擷取token
這樣可以成功擷取token,下面來做權限校驗
在需要授權的api上新增 [Authorize] 标記
比如萬年values控制器
我們分别使用攜帶token和不攜帶token通路values接口
1 攜帶token通路,傳回了想要的資料
2 未攜帶token,傳回401
Demo位址:https://gitee.com/shaolinsaodiseng/JWTDemo.git