asp.net core使用identity+jwt保护你的webapi(三)——refresh token
前言
上一篇已经介绍了identity的注册,登录,获取jwt token,本篇来完成refresh token。
开始
开始之前先说明一下为什么需要refresh token。
虽然jwt token有很多优点,但是它的缺点也是非常明显。由于jwt无状态的特性,所以jwt一旦颁发,基本上就不可控了,在过期时间内一直有效。有些场景下我们是希望能控制token失效的,比如用户的重要数据被修改时(密码,角色,权限,等等),我们希望用户重新获取token,甚至重新登录。
那么refresh token就可以很好的弥补jwt的缺陷。虽然refresh token也无法直接控制jwt失效,但是在refresh token机制下,我们可以把token的有效期设置的短一些,比如30分钟,而refresh token的有效期可以很长;因为refresh token会持久化到数据库中,它是完全可控的。
很多人纠结的jwt滑动刷新,无感刷新,在refresh token机制下,都不是问题。
生成refresh_token
改造一下上一篇的代码,首先refresh token需要持久化到数据库中,定义实体:
public class RefreshToken
{
[Key]
public int Id { get; set; }
[Required]
[StringLength(128)]
public string JwtId { get; set; }
[Required]
[StringLength(256)]
public string Token { get; set; }
/// <summary>
/// 是否使用,一个RefreshToken只能使用一次
/// </summary>
[Required]
public bool Used { get; set; }
/// <summary>
/// 是否失效。修改用户重要信息时可将此字段更新为true,使用户重新登录
/// </summary>
[Required]
public bool Invalidated { get; set; }
[Required]
public DateTime CreationTime { get; set; }
[Required]
public DateTime ExpiryTime { get; set; }
[Required]
public int UserId { get; set; }
[Required]
[ForeignKey(nameof(UserId))]
public AppUser User { get; set; }
}
加入到DbContext:
public class AppDbContext : IdentityDbContext<AppUser, IdentityRole<int>, int>
{
public DbSet<RefreshToken> RefreshTokens { get; set; }
public AppDbContext(DbContextOptions<AppDbContext> options)
: base(options)
{
}
// 省略......
}
ef迁移:
dotnet ef migrations add AppDbContext_Added_RefreshToken
dotnet ef database update
登录注册返回token时,也要把RefreshToken和ExpiresIn有效时间一起返回:
public class TokenResult
{
public bool Success => Errors == null || !Errors.Any();
public IEnumerable<string> Errors { get; set; }
public string AccessToken { get; set; }
public string TokenType { get; set; }
public int ExpiresIn { get; set; } // add
public string RefreshToken { get; set; } // add
}
public class TokenResponse
{
[JsonPropertyName("access_token")]
public string AccessToken { get; set; }
[JsonPropertyName("token_type")]
public string TokenType { get; set; }
[JsonPropertyName("expires_in")]
public int ExpiresIn { get; set; } // add
[JsonPropertyName("refresh_token")]
public string RefreshToken { get; set; } // add
}
修改UserService创建token方法:
private async Task<TokenResult> GenerateJwtToken(AppUser user)
{
var key = Encoding.ASCII.GetBytes(_jwtSettings.SecurityKey);
var tokenDescriptor = new SecurityTokenDescriptor
{
Subject = new ClaimsIdentity(new[]
{
new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString("N")),
new Claim(JwtRegisteredClaimNames.Sub, user.Id.ToString())
}),
IssuedAt = DateTime.UtcNow,
NotBefore = DateTime.UtcNow,
Expires = DateTime.UtcNow.Add(_jwtSettings.ExpiresIn),
SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key),
SecurityAlgorithms.HmacSha256Signature)
};
var jwtTokenHandler = new JwtSecurityTokenHandler();
var securityToken = jwtTokenHandler.CreateToken(tokenDescriptor);
var token = jwtTokenHandler.WriteToken(securityToken);
var refreshToken = new RefreshToken()
{
JwtId = securityToken.Id,
UserId = user.Id,
CreationTime = DateTime.UtcNow,
ExpiryTime = DateTime.UtcNow.AddMonths(6),
Token = GenerateRandomNumber()
};
await _appDbContext.RefreshTokens.AddAsync(refreshToken);
await _appDbContext.SaveChangesAsync();
return new TokenResult()
{
AccessToken = token,
TokenType = "Bearer",
RefreshToken = refreshToken.Token,
ExpiresIn = (int)_jwtSettings.ExpiresIn.TotalSeconds,
};
}
private string GenerateRandomNumber(int len = 32)
{
var randomNumber = new byte[len];
using var rng = RandomNumberGenerator.Create();
rng.GetBytes(randomNumber);
return Convert.ToBase64String(randomNumber);
}
登录测试,已经返回了refresh_token:
使用refresh_token获取token
// RefreshToken 请求参数
public class RefreshTokenRequest
{
[JsonPropertyName("access_token")]
public string AccessToken { get; set; }
[JsonPropertyName("refresh_token")]
public string RefreshToken { get; set; }
}
public interface IUserService
{
// 省略......
Task<TokenResult> RefreshTokenAsync(string token, string refreshToken); // add
}
RefreshTokenAsync实现:
public async Task<TokenResult> RefreshTokenAsync(string token, string refreshToken)
{
var claimsPrincipal = GetClaimsPrincipalByToken(token);
if (claimsPrincipal == null)
{
// 无效的token...
return new TokenResult()
{
Errors = new[] { "1: Invalid request!" },
};
}
var expiryDateUnix =
long.Parse(claimsPrincipal.Claims.Single(x => x.Type == JwtRegisteredClaimNames.Exp).Value);
var expiryDateTimeUtc = UnixTimeStampToDateTime(expiryDateUnix);
if (expiryDateTimeUtc > DateTime.UtcNow)
{
// token未过期...
return new TokenResult()
{
Errors = new[] { "2: Invalid request!" },
};
}
var jti = claimsPrincipal.Claims.Single(x => x.Type == JwtRegisteredClaimNames.Jti).Value;
var storedRefreshToken =
await _appDbContext.RefreshTokens.SingleOrDefaultAsync(x => x.Token == refreshToken);
if (storedRefreshToken == null)
{
// 无效的refresh_token...
return new TokenResult()
{
Errors = new[] { "3: Invalid request!" },
};
}
if (storedRefreshToken.ExpiryTime < DateTime.UtcNow)
{
// refresh_token已过期...
return new TokenResult()
{
Errors = new[] { "4: Invalid request!" },
};
}
if (storedRefreshToken.Invalidated)
{
// refresh_token已失效...
return new TokenResult()
{
Errors = new[] { "5: Invalid request!" },
};
}
if (storedRefreshToken.Used)
{
// refresh_token已使用...
return new TokenResult()
{
Errors = new[] { "6: Invalid request!" },
};
}
if (storedRefreshToken.JwtId != jti)
{
// refresh_token与此token不匹配...
return new TokenResult()
{
Errors = new[] { "7: Invalid request!" },
};
}
storedRefreshToken.Used = true;
//_userDbContext.RefreshTokens.Update(storedRefreshToken);
await _appDbContext.SaveChangesAsync();
var dbUser = await _userManager.FindByIdAsync(storedRefreshToken.UserId.ToString());
return await GenerateJwtToken(dbUser);
}
解析token,注意这里的tokenValidationParameters,这个参数和Startup中设置的tokenValidationParameters唯一的区别是ValidateLifetime = false,不验证过期时间。
private ClaimsPrincipal GetClaimsPrincipalByToken(string token)
{
try
{
var tokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(_jwtSettings.SecurityKey)),
ClockSkew = TimeSpan.Zero,
ValidateLifetime = false // 不验证过期时间!!!
};
var jwtTokenHandler = new JwtSecurityTokenHandler();
var claimsPrincipal =
jwtTokenHandler.ValidateToken(token, tokenValidationParameters, out var validatedToken);
var validatedSecurityAlgorithm = validatedToken is JwtSecurityToken jwtSecurityToken
&& jwtSecurityToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256,
StringComparison.InvariantCultureIgnoreCase);
return validatedSecurityAlgorithm ? claimsPrincipal : null;
}
catch
{
return null;
}
}
最后是UserController:
[HttpPost("RefreshToken")]
public async Task<IActionResult> RefreshToken(RefreshTokenRequest request)
{
var result = await _userService.RefreshTokenAsync(request.AccessToken, request.RefreshToken);
if (!result.Success)
{
return Unauthorized(new FailedResponse()
{
Errors = result.Errors
});
}
return Ok(new TokenResponse
{
AccessToken = result.AccessToken,
TokenType = result.TokenType,
ExpiresIn = result.ExpiresIn,
RefreshToken = result.RefreshToken
});
}
测试token未过期时刷新token:
正常刷新token:
refresh_token使用一次后,不可以再次使用:
其他情况可以自行测试。。。
最后
总结一下,上面的代码看似很多,其实完成的功能非常简单;就是在用户获取token时,后台生成一个与之对应的refresh token一并返回,同时将refresh token保存到数据库中;refresh token的存在就是为了当token过期时,能免登录刷新一次token。(refresh token只能使用一次,用户重要数据比如密码修改时,可以将refresh token置为失效,使用户重新登录)。代码已上传至 [blogs/asp.net core identity + jwt/code at main · xiajingren/blogs (github.com)](https://github.com/xiajingren/blogs/tree/main/asp.net core identity %2B jwt/code)
参考:
asp.net core使用identity+jwt保护你的webapi(三)——refresh token的更多相关文章
- asp.net core使用identity+jwt保护你的webapi(一)——identity基础配置
前言 用户模块几乎是每个系统必备的基础功能,如果每次开发一个新项目时都要做个用户模块,确实非常无聊.好在asp.net core给我们提供了Identity,使用起来也是比较方便,如果对用户这块需求不 ...
- asp.net core使用identity+jwt保护你的webapi(二)——获取jwt token
前言 上一篇已经介绍了identity在web api中的基本配置,本篇来完成用户的注册,登录,获取jwt token. 开始 开始之前先配置一下jwt相关服务. 配置JWT 首先NuGet安装包: ...
- 如何简单的在 ASP.NET Core 中集成 JWT 认证?
前情提要:ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统 文章超长预警(1万字以上),不想看全部实现过程的同学可以直接跳转到末尾查看成果或者一键安装相关的 nuget 包 自上一 ...
- Asp.Net Core之Identity应用(上篇)
一.前言 在前面的篇章介绍中,简单介绍了IdentityServer4持久化存储机制相关配置和操作数据,实现了数据迁移,但是未对用户实现持久化操作说明.在总结中我们也提到了, 因为IdentitySe ...
- ASP.NET Core 之 Identity 入门(三)
前言 在上一篇文章中,我们学习了 CookieAuthentication 中间件,本篇的话主要看一下 Identity 本身. 最早2005年 ASP.NET 2.0 的时候开始, Web 应用程序 ...
- [转]ASP.NET Core 之 Identity 入门(三)
本文转自:http://www.cnblogs.com/savorboard/p/aspnetcore-identity3.html 前言 在上一篇文章中,我们学习了 CookieAuthentica ...
- ASP.NET Core系列:JWT身份认证
1. JWT概述 JSON Web Token(JWT)是目前流行的跨域身份验证解决方案. JWT的官网地址:https://jwt.io JWT的实现方式是将用户信息存储在客户端,服务端不进行保存. ...
- ASP.NET Core 2.1 JWT Token 使用 (二) - 简书
原文:ASP.NET Core 2.1 JWT Token 使用 (二) - 简书 接上文,https://www.jianshu.com/p/c5f9ea3b4b65 ASP.NET Core 2. ...
- ASP.NET Core 2.1 JWT token (一) - 简书
原文:ASP.NET Core 2.1 JWT token (一) - 简书 JwtBearer认证是一种标准的,通用的,无状态的,与语言无关的认证方式.Bearer验证属于HTTP协议标准验证. 如 ...
随机推荐
- Gradient checking
所需文件:本地下载 Gradient Checking Welcome to the final assignment for this week! In this assignment you wi ...
- jdbc操作mysql(四):利用反射封装
前言 有了前面利用注解拼接sql语句,下面来看一下利用反射获取类的属性和方法 不过好像有一个问题,数据库中的表名和字段中带有下划线该如何解决呢 实践操作 工具类:获取connection对象 publ ...
- PyQT5:信号和槽
PyQT5:信号和槽 信号和槽 Qt的主要特征之一是它使用信号和插槽在对象之间进行通信. 当潜在的事件发生时,会发出一个信号.插槽是可调用的Python,如果将信号连接到插槽,则在发出信号时将调用该插 ...
- leetcode 位运算异或
1. 只出现一次的数字(136) 异或的性质总结: 相异为1,相同为0: a ^ a = 0; 0 ^ a = a; 如果 a ^ b = c 成立,那么a ^ c = b 与 b ^ c = a 均 ...
- Python - 面向对象编程 - 三大特性之封装
简单介绍封装 封装是面向对象编程的一大特点 封装可以被认为是一个保护屏障,防止该类的属性.方法和数据结构被外部随意访问 要访问该类的属性.私有方法.数据结构,必须由指定的方法控制访问 深入理解封装 在 ...
- dubbo 2.7应用级服务发现踩坑小记
本文已收录 https://github.com/lkxiaolou/lkxiaolou 欢迎star. 背景 本文记录最近一位读者反馈的dubbo 2.7.x中应用级服务发现的问题,关于dubbo应 ...
- 三剑客之sed编辑器 基操
目录: 一.sed编辑器 二.打印内容 三.使用地址 四.删除行 五.替换 六.插入 一.sed编辑器 sed是一种流编辑器,流编辑器会在编辑器处理数据之前基于预先提供的一组规则来编辑数据流. sed ...
- vs2015使用tcmalloc(windows)
编译lib库 1.https://github.com/gperftools/gperftools 去tag中下载了2.4版本(最新的2.9.1版本 用了c++17的新特性折叠表达式,vs2015不 ...
- Tars | 第8篇 TarsJava Subset最终代码的执行流程与原理分析
目录 前言 1. SubsetConf配置项的结构 1.1 SubsetConf 1.2 RatioConfig 1.3 KeyConfig 1.4 KeyRoute 1.5 SubsetConf的结 ...
- pyhton锁机制,进程池
第一,进程锁,本来进程是各自的,本不要加锁,但是在屏幕上输出打印时为了防止混乱,在进程模块有一个锁函数,使用如下,需要说明是在py3以上版本没 有出现在过屏幕输出混乱,可以不加,这方法不重要,但是作为 ...