c#關(guān)于JWT跨域身份驗(yàn)證的實(shí)現(xiàn)代碼

JSON Web Token(JWT)是目前最流行的跨域身份驗(yàn)證解決方案。為了網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開(kāi)發(fā)標(biāo)準(zhǔn)(RFC 7519),

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括竹山網(wǎng)站建設(shè)、竹山網(wǎng)站制作、竹山網(wǎng)頁(yè)制作以及竹山網(wǎng)絡(luò)營(yíng)銷策劃等。多年來(lái),我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,竹山網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到竹山省份的部分城市,未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!

該token被設(shè)計(jì)為緊湊且安全的,特別適用于分布式站點(diǎn)的單點(diǎn)登陸(SSO)場(chǎng)景。JWT的聲明一般被用來(lái)在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息,

以便于從資源服務(wù)器獲取資源,該token也可直接被用于認(rèn)證,也可被加密。

一、JWT的組成

下面是JWT的一段示例,分為三個(gè)部分,分別是頭部(header),載荷(payload)}和簽證(signature),他們之間用點(diǎn)隔開(kāi)。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.
eyJpc3MiOiLmtYHmnIjml6Dlj4wiLCJleHAiOjE1NzExMDIxNTMsInN1YiI6InRlc3RKV1QiLCJhdWQiOiJVU0VSIiwiaWF0IjoiMjAxOS8xMC8xNSA5OjE1OjQzIiwiZGF0YSI6eyJuYW1lIjoiMTExIiwiYWdlIjoxMSwiYWRkcmVzcyI6Imh2YmVpIn19.
25IbZpAbSXBQsr2k3h0IzKRAC6z3OJTWg38VDtcEER8

二、和傳統(tǒng)session的對(duì)比

JWT是基于json的鑒權(quán)機(jī)制,而且是無(wú)狀態(tài)的,服務(wù)器端是沒(méi)有如傳統(tǒng)那樣保存客戶端的登錄信息的,這就為分布式開(kāi)發(fā)提供了便利,

因?yàn)閭鹘y(tǒng)的方式是在服務(wù)端保存session信息,session是保存在內(nèi)存中的,當(dāng)客戶量變大的時(shí)候,對(duì)服務(wù)器的壓力自然會(huì)增大,

最關(guān)鍵的是在集群分布式中,每一次登錄的服務(wù)器可能不一樣,那么可能導(dǎo)致session保存在其中一個(gè)服務(wù)器,而另外一個(gè)服務(wù)器被請(qǐng)求的

時(shí)候還是無(wú)狀態(tài),除非你再次登錄,這就造成了很大的麻煩,也有人說(shuō)把session存放在專門的服務(wù)器,每次都去那個(gè)服務(wù)器請(qǐng)求,

我不認(rèn)為這是很好的解決方案,本來(lái)集群就是為了高可用,如果你配置session的服務(wù)器壞了,大家都跟著完蛋,所以JWT這種無(wú)狀態(tài)的方式

就非常適合這種分布式的系統(tǒng)。

三、代碼 JwtHelper

光說(shuō)不練假把式,下面還是來(lái)一段代碼。

還是老方式,先用NuGet把JWT引用進(jìn)來(lái),這里需要引入JWT和newtonsoft.json

如下圖所示:

c#關(guān)于JWT跨域身份驗(yàn)證的實(shí)現(xiàn)代碼

然后就是生成JWT的方法。

static IJwtAlgorithm algorithm = new HMACSHA256Algorithm();//HMACSHA256加密
 static IJsonSerializer serializer = new JsonNetSerializer();//序列化和反序列
 static IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();//Base64編解碼
 static IDateTimeProvider provider = new UtcDateTimeProvider();//UTC時(shí)間獲取
const string secret = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC4aKpVo2OHXPwb1R7duLgg";//服務(wù)端
public static string CreateJWT(Dictionary<string, object> payload)
{
      IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
      return encoder.Encode(payload, secret);
}

看到這段代碼,你說(shuō)覺(jué)得怎么這么簡(jiǎn)單,沒(méi)錯(cuò),就是這么簡(jiǎn)單,這個(gè)方法是被我們引用進(jìn)來(lái)的這個(gè)JWT給封裝了,所以看起來(lái)很簡(jiǎn)單

當(dāng)時(shí)我看到這里也是有點(diǎn)吃驚,不過(guò)我還是對(duì)源碼進(jìn)行了研究,下面貼出一段源碼給大家看看

如下所示,這段代碼是比較核心的代碼,在沒(méi)有傳遞header的時(shí)候,他幫你默認(rèn)加了header,

其實(shí)下面的這段代碼很容易看懂,無(wú)非就是對(duì)header和payload進(jìn)行base64加密(其實(shí)這里說(shuō)加密也不是很恰當(dāng))。

這里的header你可以自己傳遞進(jìn)來(lái)。

public string Encode(IDictionary<string, object> extraHeaders, object payload, byte[] key)
    {
      if (payload is null)
        throw new ArgumentNullException(nameof(payload));

      var segments = new List<string>(3);

      var header = extraHeaders is null ? new Dictionary<string, object>(StringComparer.OrdinalIgnoreCase) : new Dictionary<string, object>(extraHeaders, StringComparer.OrdinalIgnoreCase);
      header.Add("typ", "JWT");
      header.Add("alg", _algorithm.Name);

      var headerBytes = GetBytes(_jsonSerializer.Serialize(header));
      var payloadBytes = GetBytes(_jsonSerializer.Serialize(payload));

      segments.Add(_urlEncoder.Encode(headerBytes));
      segments.Add(_urlEncoder.Encode(payloadBytes));

      var stringToSign = String.Join(".", segments.ToArray());
      var bytesToSign = GetBytes(stringToSign);

      var signature = _algorithm.Sign(key, bytesToSign);
      segments.Add(_urlEncoder.Encode(signature));

      return String.Join(".", segments.ToArray());
    }

下面一段就是對(duì)JWT進(jìn)行驗(yàn)證的代碼,這里的寫法都差不多,反正都是調(diào)用JWT里面的方法,我們傳遞參數(shù)即可。

public static bool ValidateJWT(string token, out string payload, out string message)
    {
      bool isValidted = false;
      payload = "";
      try
      {
        IJwtValidator validator = new JwtValidator(serializer, provider);//用于驗(yàn)證JWT的類

        IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder);//用于解析JWT的類
        payload = decoder.Decode(token, secret, verify: true);

        isValidted = true;

        message = "驗(yàn)證成功";
      }
      catch (TokenExpiredException)//當(dāng)前時(shí)間大于負(fù)載過(guò)期時(shí)間(負(fù)荷中的exp),會(huì)引發(fā)Token過(guò)期異常
      {
        message = "過(guò)期了!";
      }
      catch (SignatureVerificationException)//如果簽名不匹配,引發(fā)簽名驗(yàn)證異常
      {
        message = "簽名錯(cuò)誤!";
      }
      return isValidted;
    }

四、調(diào)用

class Program
  {
    static void Main(string[] args)
    {
      //載荷(payload)
      var payload = new Dictionary<string, object>
      {
        { "iss","流月無(wú)雙"},//發(fā)行人
        { "exp", DateTimeOffset.UtcNow.AddSeconds(10).ToUnixTimeSeconds() },//到期時(shí)間
        { "sub", "testJWT" }, //主題
        { "aud", "USER" }, //用戶
        { "iat", DateTime.Now.ToString() }, //發(fā)布時(shí)間 
        { "data" ,new { name="111",age=11,address="hubei"} }
      };
      //生成JWT
      Console.WriteLine("******************生成JWT*******************");
      string JWTString = JwtHelper.CreateJWT(payload);
      Console.WriteLine(JWTString);
      Console.WriteLine();

      //校驗(yàn)JWT
      Console.WriteLine("*******************校驗(yàn)JWT,獲得載荷***************");
      string ResultMessage;//需要解析的消息
      string Payload;//獲取負(fù)載
      if (JwtHelper.ValidateJWT(JWTString, out Payload, out ResultMessage))
      {
        Console.WriteLine(Payload);
      }
      Console.WriteLine(ResultMessage);//驗(yàn)證結(jié)果說(shuō)明
      Console.WriteLine("*******************END*************************");
    }
  }

結(jié)果如圖:

c#關(guān)于JWT跨域身份驗(yàn)證的實(shí)現(xiàn)代碼

五、總結(jié)

1、因?yàn)閖son是通用的,所以jwt可以在絕大部分平臺(tái)可以通用,如java,python,php,.net等

2、基于jwt是無(wú)狀態(tài)的,jwt可以用于分布式等現(xiàn)在比較流行的一些框架中。

3、jwt本身不是加密的,所以安全性不是很高,別人知道了你的token就可以解析了,

當(dāng)然你自己也可以對(duì)jwt進(jìn)行加密,設(shè)置的過(guò)期時(shí)間不宜過(guò)長(zhǎng),同時(shí)不要保存一些重要的信息,如密碼。

4、盡量使用https,這也是為了安全。

5、JWT字節(jié)占用很少,非常的輕便,所以便于傳輸。

6、JWT一般放在http的頭部Header中傳輸。

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持創(chuàng)新互聯(lián)。

分享名稱:c#關(guān)于JWT跨域身份驗(yàn)證的實(shí)現(xiàn)代碼
轉(zhuǎn)載來(lái)于:http://muchs.cn/article32/iepgpc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供、用戶體驗(yàn)、App設(shè)計(jì)Google、搜索引擎優(yōu)化、網(wǎng)站制作

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

微信小程序開(kāi)發(fā)