1.前言
回顧:認證方案之初步認識JWT
在現代Web應用程式中,即分為前端與後端兩大部分。目前前後端的趨勢日益劇增,前端裝置(手機、平闆、電腦、及其他裝置)層出不窮。是以,為了友善滿足前端裝置與後端進行通訊,就必須有一種統一的機制。是以導緻API架構的流行。而RESTful API這個API設計思想理論也就成為目前網際網路應用程式比較歡迎的一套方式。
這種API架構思想的引入,是以,我們就需要考慮用一種标準的,通用的,無狀态的,與語言無關的身份認證方式來實作API接口的認證。
HTTP提供了一套标準的身份驗證架構:服務端可以用來針對用戶端的請求發送質詢(challenge),用戶端根據質詢提供應答身份驗證憑證。
質詢與應答的工作流程如下:服務端向用戶端傳回401(Unauthorized,未授權)狀态碼,并在WWW-Authenticate頭中添加如何進行驗證的資訊,其中至少包含有一種質詢方式。然後用戶端可以在請求中添加Authorization頭進行驗證,其Value為身份驗證的憑證資訊。
在本文中,将要介紹的是以Jwt Bearer方式進行認證。
2.Bearer認證
本文要介紹的Bearer驗證也屬于HTTP協定标準驗證,它随着OAuth協定而開始流行,詳細定義見: RFC 6570。
+--------+ +---------------+
| |--(A)- Authorization Request ->| Resource |
| | | Owner |
| || Authorization |
| Client | | Server |
| || Resource |
| | | Server |
| |<-(F)--- Protected Resource ---| |
+--------+ +---------------+ A security token with the property that any party in possession of the token (a "bearer") can use the token in any way that any other party in possession of it can. Using a bearer token does not require a bearer to prove possession of cryptographic key material (proof-of-possession).
是以Bearer認證的核心是Token,Bearer驗證中的憑證稱為BEARER_TOKEN,或者是access_token,它的頒發和驗證完全由我們自己的應用程式來控制,而不依賴于系統和Web伺服器,Bearer驗證的标準請求方式如下:
Authorization: Bearer [BEARER_TOKEN] 那麼使用Bearer驗證有什麼好處呢?
- CORS: cookies + CORS 并不能跨不同的域名。而Bearer驗證在任何域名下都可以使用HTTP header頭部來傳輸使用者資訊。
- 對移動端友好: 當你在一個原生平台(iOS, Android, WindowsPhone等)時,使用Cookie驗證并不是一個好主意,因為你得和Cookie容器打交道,而使用Bearer驗證則簡單的多。
- CSRF: 因為Bearer驗證不再依賴于cookies, 也就避免了跨站請求攻擊。
- 标準:在Cookie認證中,使用者未登入時,傳回一個302到登入頁面,這在非浏覽器情況下很難處理,而Bearer驗證則傳回的是标準的401 challenge。
3.JWT
上面介紹的Bearer認證,其核心便是BEARER_TOKEN,那麼,如何確定Token的安全是重中之重。一種是通過HTTPS的方式,另一種是通過對Token進行加密編碼簽名,而最流行的Token編碼簽名方式便是:JSON WEB TOKEN。
Json web token (Jwt), 是為了在網絡應用環境間傳遞聲明而執行的一種基于JSON的開放标準(RFC 7519)。該token被設計為緊湊且安全的,特别适用于分布式站點的單點登入(SSO)場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的使用者身份資訊,以便于從資源伺服器擷取資源,也可以增加一些額外的其它業務邏輯所必須的聲明資訊,該token也可直接被用于認證,也可被加密。
JWT是由.分割的如下三部分組成:
Header.Payload.Signature 
還記得之前說個的一篇認證方案之初步認識JWT嗎?沒有的,可以看看,對JWT的特點和基本原理介紹,可以進一步的了解。
學習了之前的文章後,我們可以發現使用JWT的好處在于通用性、緊湊性和可拓展性。
- 通用性:因為json的通用性,是以JWT是可以進行跨語言支援的,像JAVA,JavaScript,NodeJS,PHP等很多語言都可以使用。
- 緊湊性:JWT的構成非常簡單,位元組占用很小,通過 GET、POST 等放在 HTTP 的 header 中,便于傳輸。
- 可擴充性:JWT是自我包涵的,因為有了payload部分,包含了必要的一些其他業務邏輯所必要的非敏感資訊,自身存儲,不需要在服務端儲存會話資訊, 非常易于應用的擴充。
4.開始
1. 注冊認證服務
在這裡,我們用微軟給我們提供的JwtBearer認證方式,實作認證服務注冊 。
引入nuget包:Microsoft.AspNetCore.Authentication.JwtBearer 注冊服務,将服務添加到容器中,
public void ConfigureServices(IServiceCollection services)
{
services.AddControllers();
var Issurer = "JWTBearer.Auth"; //發行人
var Audience = "api.auth"; //閱聽人人
var secretCredentials = "q2xiARx$4x3TKqBJ"; //密鑰
//配置認證服務
services.AddAuthentication(x =>
{
x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(o=>{
o.TokenValidationParameters = new TokenValidationParameters
{
//是否驗證發行人
ValidateIssuer = true,
ValidIssuer = Issurer,//發行人
//是否驗證閱聽人人
ValidateAudience = true,
ValidAudience = Audience,//閱聽人人
//是否驗證密鑰
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(secretCredentials)),
ValidateLifetime = true, //驗證生命周期
RequireExpirationTime = true, //過期時間
};
});
} 注意說明:
一. TokenValidationParameters的參數預設值:
1. ValidateAudience = true, ----- 如果設定為false,則不驗證Audience閱聽人人
2. ValidateIssuer = true , ----- 如果設定為false,則不驗證Issuer釋出人,但建議不建議這樣設定
3. ValidateIssuerSigningKey = false,
4. ValidateLifetime = true, ----- 是否驗證Token有效期,使用目前時間與Token的Claims中的NotBefore和Expires對比
5. RequireExpirationTime = true, ----- 是否要求Token的Claims中必須包含Expires
6. ClockSkew = TimeSpan.FromSeconds(300), ----- 允許伺服器時間偏移量300秒,即我們配置的過期時間加上這個允許偏移的時間值,才是真正過期的時間(過期時間 +偏移值)你也可以設定為0,ClockSkew = TimeSpan.Zero 調用方法,配置Http請求管道:
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseRouting();
//1.先開啟認證
app.UseAuthentication();
//2.再開啟授權
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
} 在JwtBearerOptions的配置中,通常IssuerSigningKey(簽名秘鑰), ValidIssuer(Token頒發機構), ValidAudience(頒發給誰) 三個參數是必須的,後兩者用于與TokenClaims中的Issuer和Audience進行對比,不一緻則驗證失敗。
2.接口資源保護
建立一個需要授權保護的資源控制器,這裡我們用建立API生成項目自帶的控制器,WeatherForecastController.cs, 在控制器上使用Authorize即可
[ApiController]
[Route("[controller]")]
[Authorize]
public class WeatherForecastController : ControllerBase
{
private static readonly string[] Summaries = new[]
{
"Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
};
private readonly ILogger_logger;
public WeatherForecastController(ILoggerlogger)
{
_logger = logger;
}
[HttpGet]
public IEnumerableGet()
{
var rng = new Random();
return Enumerable.Range(1, 5).Select(index => new WeatherForecast
{
Date = DateTime.Now.AddDays(index),
TemperatureC = rng.Next(-20, 55),
Summary = Summaries[rng.Next(Summaries.Length)]
})
.ToArray();
}
} 3. 生成Token
因為微軟為我們内置了JwtBearer驗證,但是沒有提供Token的發放,是以這裡我們要實作生成Token的方法
引入Nugets包:System.IdentityModel.Tokens.Jwt 這裡我們根據IdentityModel.Tokens.Jwt文檔給我們提供的幫助類,提供了方法WriteToken建立Token,根據參數SecurityToken,可以執行個體化,JwtSecurityToken,指定可選參數的類。
////// Initializes a new instance of theclass specifying optional parameters.
//////If this value is not null, a { iss, 'issuer' } claim will be added, overwriting any 'iss' claim in 'claims' if present.///If this value is not null, a { aud, 'audience' } claim will be added, appending to any 'aud' claims in 'claims' if present.///If this value is not null then for eacha { 'Claim.Type', 'Claim.Value' } is added. If duplicate claims are found then a { 'Claim.Type', List<object> } will be created to contain the duplicate values.///If expires.HasValue a { exp, 'value' } claim is added, overwriting any 'exp' claim in 'claims' if present.///If notbefore.HasValue a { nbf, 'value' } claim is added, overwriting any 'nbf' claim in 'claims' if present.///Thethat will be used to sign the. Seefor details pertaining to the Header Parameter(s).///If 'expires' <= 'notbefore'.public JwtSecurityToken(string issuer = null, string audience = null, IEnumerableclaims = null, DateTime? notBefore = null, DateTime? expires = null, SigningCredentials signingCredentials = null)
{
if (expires.HasValue && notBefore.HasValue)
{
if (notBefore >= expires)
throw LogHelper.LogExceptionMessage(new ArgumentException(LogHelper.FormatInvariant(LogMessages.IDX12401, expires.Value, notBefore.Value)));
}
Payload = new JwtPayload(issuer, audience, claims, notBefore, expires);
Header = new JwtHeader(signingCredentials);
RawSignature = string.Empty;
} 這樣,我們可以根據參數指定内容:
1. string iss = "JWTBearer.Auth"; // 定義發行人
2. string aud = "api.auth"; //定義閱聽人人audience
3. IEnumerableclaims = new Claim[]
{
new Claim(JwtClaimTypes.Id,"1"),
new Claim(JwtClaimTypes.Name,"i3yuan"),
};//定義許多種的聲明Claim,資訊存儲部分,Claims的實體一般包含使用者和一些中繼資料
4. var nbf = DateTime.UtcNow; //notBefore 生效時間
5. var Exp = DateTime.UtcNow.AddSeconds(1000); //expires 過期時間
6. string sign = "q2xiARx$4x3TKqBJ"; //SecurityKey 的長度必須 大于等于 16個字元
var secret = Encoding.UTF8.GetBytes(sign);
var key = new SymmetricSecurityKey(secret);
var signcreds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256); 好了,通過以上填充參數内容,進行傳參指派得到,完整代碼如下:
新增AuthController.cs控制器:
[HttpGet]
public IActionResult GetToken()
{
try
{
//定義發行人issuer
string iss = "JWTBearer.Auth";
//定義閱聽人人audience
string aud = "api.auth";
//定義許多種的聲明Claim,資訊存儲部分,Claims的實體一般包含使用者和一些中繼資料
IEnumerableclaims = new Claim[]
{
new Claim(JwtClaimTypes.Id,"1"),
new Claim(JwtClaimTypes.Name,"i3yuan"),
};
//notBefore 生效時間
// long nbf =new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds();
var nbf = DateTime.UtcNow;
//expires //過期時間
// long Exp = new DateTimeOffset(DateTime.Now.AddSeconds(1000)).ToUnixTimeSeconds();
var Exp = DateTime.UtcNow.AddSeconds(1000);
//signingCredentials 簽名憑證
string sign = "q2xiARx$4x3TKqBJ"; //SecurityKey 的長度必須 大于等于 16個字元
var secret = Encoding.UTF8.GetBytes(sign);
var key = new SymmetricSecurityKey(secret);
var signcreds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
var jwt = new JwtSecurityToken(issuer: iss, audience: aud, claims:claims,notBefore:nbf,expires:Exp, signingCredentials: signcreds);
var JwtHander = new JwtSecurityTokenHandler();
var token = JwtHander.WriteToken(jwt);
return Ok(new
{
access_token = token,
token_type = "Bearer",
});
}
catch (Exception ex)
{
throw;
}
} 注意: 1.SecurityKey 的長度必須 大于等于 16個字元,否則生成會報錯。(可通過線上随機生成密鑰)
5. 運作
通路擷取Token方法,擷取得到access_token:
再通路,授權資源接口,可以發現,再沒有添加請求頭token值的情況下,傳回了401沒有權限。
這次,在請求頭通過Authorization加上之前擷取的token值後,再次進行通路,發現已經可以擷取通路資源控制器,并傳回對應的資料。
6.擴充說明
在HTTP标準驗證方案中,我們比較熟悉的是"Basic"和"Digest",前者将使用者名密碼使用BASE64編碼後作為驗證憑證,後者是Basic的更新版,更加安全,因為Basic是明文傳輸密碼資訊,而Digest是加密後傳輸。
一、Basic基礎認證
Basic認證是一種較為簡單的HTTP認證方式,用戶端通過明文(Base64編碼格式)傳輸使用者名和密碼到服務端進行認證,通常需要配合HTTPS來保證資訊傳輸的安全。
用戶端請求需要帶Authorization請求頭,值為“Basic xxx”,xxx為“使用者名:密碼”進行Base64編碼後生成的值。 若用戶端是浏覽器,則浏覽器會提供一個輸入使用者名和密碼的對話框,使用者輸入使用者名和密碼後,浏覽器會儲存使用者名和密碼,用于構造Authorization值。當關閉浏覽器後,使用者名和密碼将不再儲存。
憑證為“YWxhzGRpbjpvcGVuc2VzYWl1”,是通過将“使用者名:密碼”格式的字元串經過的Base64編碼得到的。而Base64不屬于加密範疇,可以被逆向解碼,等同于明文,是以Basic傳輸認證資訊是不安全的。
Basic基礎認證圖示:
缺陷彙總
1.使用者名和密碼明文(Base64)傳輸,需要配合HTTPS來保證資訊傳輸的安全。
2.即使密碼被強加密,第三方仍可通過加密後的使用者名和密碼進行重播攻擊。
3.沒有提供任何針對代理和中間節點的防護措施。
4.假冒伺服器很容易騙過認證,誘導使用者輸入使用者名和密碼。
二、Digest摘要認證
7.注意
- 在進行JwtBearer認證時,在生成token之後,還需要與重新整理token配合使用,因為當使用者執行了退出,修改密碼等操作時,需要讓該token無效,無法再次使用,是以,會給access_token設定一個較短的有效期間,(JwtBearer認證預設會驗證有效期,通過notBefore和expires來驗證),當access_token過期後,可以在使用者無感覺的情況下,使用refresh_token重新擷取access_token,但這就不屬于Bearer認證的範疇了,但是我們可以通過另一種方式通過IdentityServer的方式來實作,在後續中會對IdentityServer進行詳細講解。
- 在生成token的時候,需要用的secret,主要是用來防止token被僞造與篡改。因為當token被劫取的時候,可以得到你的令牌中帶的一些個人不重要的資訊明文,但不用擔心,隻要你不在生成token裡把私密的個人資訊放出去的話,就算被動機不良的人得到,也做不了什麼事情。但是你可能會想,如果使用者自己随便的生成一個 token ,帶上你的資訊,那不就可以随便通路你的資源伺服器了,是以這個時候就需要利用secret 來生成 token,來確定數字簽名的正确性。而且在認證授權資源,進行token解析的時候,通過微軟的源碼發現,已經幫我們封裝了方法,對secret進行了校驗了,確定了token的安全性,進而保證api資源的安全。
8.總結
- JwtToken在認證時,無需Security token service安全令牌伺服器的參與,都是基于Claim的,預設會驗證有效期,通過notBefore和expires來驗證,這在分布式中提供給了極大便利。
- JwtToken與平台、無言無關,在前端也可以直接解析出Claims。
- 如果有不對的或不了解的地方,希望大家可以多多指正,提出問題,一起讨論,不斷學習,共同進步。
- 後面會對認證授權方案中的授權這一塊進行說明分享。
-
本示例源碼位址
參考JwtBearer源碼