系列导航及源代码

需求

在上一篇文章使用.NET 6开发TodoList应用(24)——实现基于JWT的Identity功能中,我们演示了如何使用.NET框架的Identity组件实现基于JWT Token的认证和授权功能。我们可以想象一下场景:当获取到的Token过期以后,我们必须要重新请求认证接口以获取新的Token,在实际的应用中,表现出来就是虽然当前用户一直在进行业务的操作,但是到了一个固定的时间点后,就会要求用户重新登陆一次来获取新Token,这对用户的体验是非常不友好的。所以我们引出了本文将要介绍的Refresh Token的概念。

那么我们为什么一定需要一个Refresh Token而不是将Token的过期时间设置的长一点呢?最主要的原因是如果这个长期的Token一旦被暴露,那么即使我们修改登录密码,也无法阻止已经被暴露的Token被用来访问我们受保护的API资源,只能等到这个Token自己过期。所以我们希望设置一个短时间有效的Token,当客户端Token失效后,服务端将会返回一个Token过期的响应,那么此时客户端就可以携带这个已过期的Token和服务器之前签发的一次性的Refresh Token去服务端换取一个新的Token和一个新的一次性Refresh Token。客户端就可以在不需要重新登陆的情况下携带这个新的Token去访问后端资源,同时也将Token暴露的影响降低了。

目标

TodoList实现Refresh Token功能。

原理与思路

为了实现Refresh Token功能,我们需要做这几件事:

  1. 在用户请求Token时同时创建一个Refresh Token返回给客户端;
  2. 修改认证服务,使其能够从已过期的Token中获取用户的Principal数据;
  3. 创建一个refresh token的API接口用于响应客户端的获取新Token的逻辑。

实现

使ApplicationUser支持RefreshToken

  • ApplicationUser.cs
using Microsoft.AspNetCore.Identity;

namespace TodoList.Infrastructure.Identity;

public class ApplicationUser : IdentityUser

{

    public string? RefreshToken { get; set; }

    public DateTime RefreshTokenExpiryTime { get; set; }

}

运行Migration使修改生效。

修改CreateToken签名使其同时返回Refresh Token

新建创建Token返回的响应体对象ApplicationToken

  • ApplicationToken.cs
namespace TodoList.Application.Common.Models;

public record ApplicationToken(string AccessToken, string RefreshToken);

修改接口定义

Task<ApplicationToken> CreateTokenAsync(bool populateExpiry);

并对应修改实现:

  • IdentityService.cs
public async Task<ApplicationToken> CreateTokenAsync(bool populateExpiry)

{

    var signingCredentials = GetSigningCredentials();

    var claims = await GetClaims();

    var tokenOptions = GenerateTokenOptions(signingCredentials, claims);

    var refreshToken = GenerateRefreshToken();

    User!.RefreshToken = refreshToken;

    if(populateExpiry)

        User!.RefreshTokenExpiryTime = DateTime.Now.AddDays(7);

    await _userManager.UpdateAsync(User);

    var accessToken = new JwtSecurityTokenHandler().WriteToken(tokenOptions);

    return new ApplicationToken(accessToken, refreshToken);

}

private string GenerateRefreshToken()

{

    // 创建一个随机的Token用做Refresh Token

    var randomNumber = new byte[32];

    using var rng = RandomNumberGenerator.Create();

    rng.GetBytes(randomNumber);

    return Convert.ToBase64String(randomNumber);

}

修改login方法

  • AuthenticationController.cs
[HttpPost("login")]

public async Task<IActionResult> Authenticate([FromBody] UserForAuthentication userForAuthentication)

{

    if (!await _identityService.ValidateUserAsync(userForAuthentication))

    {

        return Unauthorized();

    }

    var token = await _identityService.CreateTokenAsync(true);

    return Ok(token);

}

到目前为止,我们已经为应用程序添加了Refresh Token所需要的一些基础功能了,接下来就需要实现一个refresh token接口用于换取新的Token

实现refresh token接口

我们新建一个Action用于refresh token接口。

  • AuthenticationController.cs
[HttpPost("refresh")]

public async Task<IActionResult> Refresh([FromBody] ApplicationToken token)

{

    var tokenToReturn = await _identityService.RefreshTokenAsync(token);

    return Ok(tokenToReturn);

}

实现refresh token功能

我们在认证服务中添加Controller中调用的方法

  • IIdentityService.cs
Task<ApplicationToken> RefreshTokenAsync(ApplicationToken token);

并实现接口方法:

  • IdentityService.cs
// 省略其他...

public async Task<ApplicationToken> RefreshTokenAsync(ApplicationToken token)

{

    var principal = GetPrincipalFromExpiredToken(token.AccessToken);

    var user = await _userManager.FindByNameAsync(principal.Identity?.Name);

    if (user == null || user.RefreshToken != token.RefreshToken || user.RefreshTokenExpiryTime <= DateTime.Now)

    {

        throw new BadHttpRequestException("provided token has some invalid value");

    }

    User = user;

    return await CreateTokenAsync(true);

}

private ClaimsPrincipal GetPrincipalFromExpiredToken(string token)

{

    // 根据已过期的Token获取用户相关的Principal数据,用来生成新的Token

    var jwtSettings = _configuration.GetSection("JwtSettings");

    var tokenValidationParameters = new TokenValidationParameters {

        ValidateAudience = true,

        ValidateIssuer = true,

        ValidateIssuerSigningKey = true,

        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Environment.GetEnvironmentVariable("SECRET") ?? "TodoListApiSecretKey")), ValidateLifetime = true,

        ValidIssuer = jwtSettings["validIssuer"],

        ValidAudience = jwtSettings["validAudience"]

    };

    var tokenHandler = new JwtSecurityTokenHandler();

    var principal = tokenHandler.ValidateToken(token, tokenValidationParameters, out var securityToken);

    if (securityToken is not JwtSecurityToken jwtSecurityToken ||

        !jwtSecurityToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256, StringComparison.InvariantCultureIgnoreCase))

    {

        throw new SecurityTokenException("Invalid token");

    }

    return principal;

}

接下来我们就可以验证refresh token的功能了。

验证

启动Api项目,首先我们获取Token:



可以看到同时返回了refresh token。

然后我们请求refresh token接口:



获取到了一个新的Access Token和一个新的refresh token。

接下来使用新获取到的access token去请求创建TodoList



可以看到新的access token是可以用来作为认证和授权的凭证请求接口的。

总结

在本文中我们实现了关于refresh token的功能,在实际应用中,客户端程序可能需要根据原始Token中payload里的exp字段去判断是否将要过期,提前请求refresh token,以实现用户无感知的持续携带有效的token去请求后端API资源。

使用.NET 6开发TodoList应用(25)——实现RefreshToken的更多相关文章

  1. 使用.NET 6开发TodoList应用(26)——实现Configuration和Option的强类型绑定

    系列导航及源代码 使用.NET 6开发TodoList应用文章索引 需求 在上一篇文章使用.NET 6开发TodoList应用(25)--实现RefreshToken中,我们通过使用Configura ...

  2. 使用.NET 6开发TodoList应用(3)——引入第三方日志库

    需求 在我们项目开发的过程中,使用.NET 6自带的日志系统有时是不能满足实际需求的,比如有的时候我们需要将日志输出到第三方平台上,最典型的应用就是在各种云平台上,为了集中管理日志和查询日志,通常会选 ...

  3. 使用.NET 6开发TodoList应用(1)——系列背景

    前言 想到要写这样一个系列博客,初衷有两个:一是希望通过一个实践项目,将.NET 6 WebAPI开发的基础知识串联起来,帮助那些想要入门.NET 6服务端开发的朋友们快速上手,对使用.NET 6开发 ...

  4. 使用.NET 6开发TodoList应用(2)——项目结构搭建

    为了不影响阅读的体验,我把系列导航放到文章最后了,有需要的小伙伴可以直接通过导航跳转到对应的文章 : P TodoList需求简介 首先明确一下我们即将开发的这个TodoList应用都需要完成什么功能 ...

  5. 使用.NET 6开发TodoList应用(4)——引入数据存储

    需求 作为后端CRUD程序员(bushi,数据存储是开发后端服务一个非常重要的组件.对我们的TodoList项目来说,自然也需要配置数据存储.目前的需求很简单: 需要能持久化TodoList对象并对其 ...

  6. 使用.NET 6开发TodoList应用(5)——领域实体创建

    需求 上一篇文章中我们完成了数据存储服务的接入,从这一篇开始将正式进入业务逻辑部分的开发. 首先要定义和解决的问题是,根据TodoList项目的需求,我们应该设计怎样的数据实体,如何去进行操作? 长文 ...

  7. 使用.NET 6开发TodoList应用(5.1)——实现Repository模式

    需求 经常写CRUD程序的小伙伴们可能都经历过定义很多Repository接口,分别做对应的实现,依赖注入并使用的场景.有的时候会发现,很多分散的XXXXRepository的逻辑都是基本一致的,于是 ...

  8. 使用.NET 6开发TodoList应用(6)——使用MediatR实现POST请求

    需求 需求很简单:如何创建新的TodoList和TodoItem并持久化. 初学者按照教程去实现的话,应该分成以下几步:创建Controller并实现POST方法:实用传入的请求参数new一个数据库实 ...

  9. 使用.NET 6开发TodoList应用文章索引

    系列导航 使用.NET 6开发TodoList应用(1)--系列背景 使用.NET 6开发TodoList应用(2)--项目结构搭建 使用.NET 6开发TodoList应用(3)--引入第三方日志 ...

随机推荐

  1. IOS开发入门教程-总结篇-写给狂热的编程爱好者们

    程序发轻狂,代码阑珊,苹果开发安卓狂!--写给狂热的编程爱好者们 写在前面的话 学习iOS应用程序开发已有一段时间,最近稍微闲下来了,正好也想记录一下前阶段的整个学习过程.索性就从最基础的开始,一步一 ...

  2. Latex-安装_第一天

    LaTex安装 Windows 小知识: \(Tex\)来源technology,希腊词根是\(tex\),Latex应该读成"拉泰赫". https://miktex.org/ ...

  3. 混沌映射初始化种群之Logistic映射

    Logstic混沌映射初始化种群 Step 1:     随机生成一个\(d\)维向量\({X_0}\),向量的每个分量在0-1之间. Step 2:     利用Logistic映射生成N个向量.L ...

  4. Kafka从入门到放弃(三) —— 详说生产者

    上一篇对Kafka做了简单介绍,还没看的朋友可以点击下方链接. Kafka从入门到放弃(一) -- 初识别Kafka 消息中间件必须与生产者和消费者一起存在才有意义,这次先来聊聊Kafka的生产者. ...

  5. dart系列之:安全看我,dart中的安全特性null safety

    目录 简介 Non-nullable类型 Nullable List Of Strings 和 List Of Nullable Strings !操作符 late关键字 总结 简介 在Dart 2. ...

  6. Ribbon——负载均衡

    一.什么是Ribbon Ribbon是Netflix发布的开源项目,主要功能是提供客户端的软件负载均衡算法,将Netflix的中间层服务连接在一起.Ribbon客户端组件提供一系列完善的配置项如连接超 ...

  7. mysql联合查询更新数据库例子

    mysql联合查询更新数据库例子,用户表,部门表,把用户表中的部门属性更新为部门表的主键UPDATE user_table AS utINNER JOIN belongdept AS bd ON bd ...

  8. 重学c#系列——string.empty 和 "" 还有null[二十]

    前言 简单整理一下string.empty 和 "" 还有 null的区别. 正文 首先null 和 string.empty 还有 "" 是不一样的. nul ...

  9. Linux执行脚本报错:-bash: ./xx.sh: /bin/bash^M: bad interpreter: No such file or directory

    1.用vim打开文本 输入 : set ff 这里要先按":"号 显示文件为dos格式 2.强制装换格式为unix 先按冒号":" set ff=unix 然后 ...

  10. IDEA设置默认maven配置

    我们有时候自己在本机上配置了一个maven环境.但是IDEA每次新开一个项目都要重新选择一个maven的配置就很麻烦,可以使用这个进行设置默认的maven配置 有的版本IDEA不同显示的内容和图片的不 ...