原文出自Rui Figueiredo的博客，原文鏈接《Secure a Web Api in ASP.NET Core》

摘要：這篇文章闡述了如何使用 Json Web Token (Jwt)方式 來(lái)配置身份驗(yàn)證中間件。這種方式十分適合移動(dòng)App 后端等不使用cookie的后端程序。

網(wǎng)絡(luò)上有許多資源可以教你如何保護(hù)ASP.NET Core Web應(yīng)用程序。我寫過(guò)一些，例如 ASP.NET Core Identity From Scratch , External Login Providers in ASP.NET Core and Facebook Authentiation with ASP.NET Core.

不過(guò)對(duì)于保護(hù)Asp.Net WebApi，網(wǎng)絡(luò)上有用的信息似乎不多。所以在這篇博文中，我將介紹如何使用Json Web Tokens（JWT）來(lái)保護(hù)ASP.NET Core中的Web Api。我在github中有一個(gè)演示項(xiàng)目，你可以照著它來(lái)做。

使用token替代cookie

在一個(gè)Web應(yīng)用程序中，如果你不打算使用供應(yīng)外部調(diào)用（例如一個(gè)移動(dòng)應(yīng)用程序）的API，那么它通常使用一個(gè)cookie來(lái)表示一個(gè)已經(jīng)登錄的用戶。

一般的流程是：用戶單擊登錄，進(jìn)入登錄頁(yè)面，輸入有效憑證后，服務(wù)器發(fā)送給用戶瀏覽器的響應(yīng)包含一個(gè)帶有加密信息的 Set-Cookie 頭。

cookie會(huì)被設(shè)置上domain 例如 blinkingcaret.com,每次瀏覽器向這個(gè)domain發(fā)送請(qǐng)求時(shí)，設(shè)置在這個(gè)domain上的cookie也會(huì)被帶上。

在服務(wù)器上，cookie將被解密，然后使用解密后的內(nèi)容來(lái)創(chuàng)建用戶的 Identity。

如果客戶端是一個(gè)瀏覽器，這種方式將會(huì)非常非常適合。不過(guò)當(dāng)我們的客戶端是一個(gè)移動(dòng)應(yīng)用程序時(shí)候，那就另當(dāng)別論了。

JWT

我們可以使用什么來(lái)代替cookie呢？沒(méi)錯(cuò)就是token。token也代表用戶，但是當(dāng)我們使用它的時(shí)候，我們不再依賴于瀏覽器的內(nèi)置機(jī)制以及用它和cookie打交道。

我們必須明確地向服務(wù)器要一個(gè)token，我們自己將它存儲(chǔ)在某個(gè)地方，然后在每個(gè)請(qǐng)求發(fā)送時(shí)手動(dòng)帶上它。有一些方法可以使這個(gè)盡可能簡(jiǎn)單快捷，我會(huì)在后面討論其中的一些方法。

我將在這里討論的token格式是JWT。

JWT代表Json Web Token。JWTtoken具有以下格式 base64-encoded-header.base64-encoded-payload.signature 。

一個(gè)heder的例子是

{“alg”: “HS265”,“typ”: “JWT” }

payload包含一系列 claims，例如：

{"name": "Rui","admin": true}

最后，通過(guò)采用“base64（header）.base64（payload）”創(chuàng)建簽名，并使用頭部指定的算法對(duì)簽名其進(jìn)行加密。例如 HMAC-SHA256。簽名部分會(huì)用到一個(gè)存儲(chǔ)在server上的密鑰，這個(gè)密鑰是不會(huì)發(fā)給客戶端的。

下面是一個(gè)真正的JWT的例子：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoicnVpIiwic3ViIjoidGVzdCIsIm5iZiI6MTUwMzYxNDU4NSwiZXhwIjoxNTA2MDMzNzg1LCJpc3MiOiJibGlua2luZ2NhcmV0IHN0cyIsImF1ZCI6ImJsaW5raW5nY2FyZXQgYXBwIn0.F7PFoYcQXez3zV98BFKLpyON6d_1p-6IAeihZRSv0VM

你必須注意的是，JWT中包含的信息沒(méi)有加密。為了獲得有效payload，你只需要base64解碼。你甚至可以從你的開(kāi)發(fā)者工具控制臺(tái)（例如在Chrome中）這樣做。使用atob方法并將payload作為參數(shù)傳遞。你會(huì)得到解密后的JSON 。signature只能保證如果有人篡改了payload，那么signature將會(huì)失效。如果有人想成功替換有效載荷并生成有效的token，他們需要知道簽名中使用的密鑰，但是該密鑰永遠(yuǎn)不會(huì)被發(fā)送到客戶端。

所以，當(dāng)你想往payload里放一些東西的時(shí)候，你一定要知道上面這些

譯者注：就是不要把敏感信息放在payload里，比如：密碼。

在 ASP.NET Core 中使用JWT

要在ASP.NET Core中使用JWT，我們需要知道如何手動(dòng)創(chuàng)建JWTtoken，如何驗(yàn)證它們以及如何創(chuàng)建端點(diǎn)以便客戶端應(yīng)用程序可以獲得它們。

如何創(chuàng)建JWTtoken

首先你需要安裝nuget包System.IdentityModel.Tokens.Jwt：

$ dotnet add package System.IdentityModel.Tokens.Jwt

然后創(chuàng)建一個(gè)密鑰。我們將使用 symmetric key（譯者注：對(duì)稱密鑰），代碼如下：

var secretKey = new SymmetricSecurityKey(Endoding.UTF8.GetBytes("a secret that needs to be at least 16 characters long"));

譯者注：a secret that needs to be at least 16 characters long=>一個(gè)至少需要16個(gè)字符的密碼，在驗(yàn)證簽名時(shí)還會(huì)用到。

我們的token將包含一組claims。所以讓我們創(chuàng)建它們：

var claims = new Claim[] { ?
?new Claim(ClaimTypes.Name, "John"),
?? ?new Claims(JwtRegisteredClaimNames.Email, "john.doe@blinkingcaret.com") }

我已經(jīng)使用了兩種claim類型 ：

ClaimTypes（System.Security.Claims）

JwtRegisteredClaimNames（System.IdentityModel.Tokens.Jwt）

要強(qiáng)調(diào)的是JwtRegisteredClaimNames包含在JWT RFC中列舉的claims中。如果你打算使用不同編程語(yǔ)言或者框架生成的token，那么為了兼容性，你應(yīng)該盡可能的使用這個(gè)。不過(guò)，有一些聲明類型可以在ASP.NET中啟用某些功能。例如，ClaimTypes.Name 是用戶名（User.Identity.Name）的默認(rèn)聲明類型。另一個(gè)例子是ClaimTypes.Role，如果你在Authorize屬性中使用Roles屬性（例如[Authorize（Roles =“Administrator”）]），這個(gè)聲明將會(huì)被檢查用來(lái)確認(rèn)權(quán)限。

在創(chuàng)建我們想要在token中編碼的claims列表之后，我們可以創(chuàng)建token本身，代碼如下：

var token = new JwtSecurityToken( ?
? ?issuer: "your app", ?
? ?audience: "the client of your app", ?
? ?claims: claims, ?
? ?notBefore: DateTime.Now, ?
? ?expires: DateTime.Now.AddDays(28), ?
? ?signingCredentials: new SigningCredentials(key, SecurityAlgorithms.HmacSha256) );

這里有一些我之前沒(méi)有提到的概念，即發(fā)issue，audience和expiration dates。

譯者注： 發(fā)行者，受眾/聽(tīng)眾，過(guò)期時(shí)間

發(fā)行者表示生成token的實(shí)體，在這個(gè)例子里它是ASP.NET Core Web應(yīng)用程序。audience代表將要使用這些token的實(shí)體，例如 client。如果你依靠第三方創(chuàng)建token（不是現(xiàn)在所要用到的），這個(gè)issue和audience是重要的。驗(yàn)證token時(shí)，你可以驗(yàn)證issue和audience。

notBefore 和 expire 定義了 token的有效時(shí)間區(qū)間，在notBefore之后expire之前。

最后在signedCredentials中指定使用哪個(gè)安全密鑰和什么算法來(lái)創(chuàng)建簽名。在這個(gè)例子中我們使用了HMAC-SHA256。

如果你不關(guān)心issue和audience（在JWT規(guī)范中是可選的），你可以使用接受JwtSecurityHeader和JwtSecurityPayload的JwtSecurityToken的更簡(jiǎn)單的構(gòu)造函數(shù)重載。不過(guò)你必須手動(dòng)將expires和notBefore聲明添加到有效內(nèi)容中，例如：

var claims = new Claim[] { ? ?new Claim(ClaimTypes.Name, "John"), ? ?new Claims(JwtRegisteredClaimNames.Email, "john.doe@blinkingcaret.com"), ? ?new Claim(JwtRegisteredClaimNames.Exp, $"{new DateTimeOffset(DateTime.Now.AddDays(1)).ToUnixTimeSeconds()}"), ? ?new Claim(JwtRegisteredClaimNames.Nbf, $"{new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds()}") ? ? ? ? }var token = new JwtSecurityToken(new JwtHeader(new SigningCredentials(key, SecurityAlgorithms.HmacSha256)), new JwtPayload(claims));

請(qǐng)注意Exp（expires）和Nbf（notBefore）聲明的值是一個(gè)Unix時(shí)間的字符串。將DateTime轉(zhuǎn)換為該格式的最簡(jiǎn)單方法是使用DateTimeOffset。

在創(chuàng)建JwtSecurityToken的實(shí)例后，實(shí)際生成token的方法是調(diào)用JwtSecurityTokenHandler實(shí)例的WriteToken方法，并將JwtSecurityToken作為參數(shù)傳遞：

string jwtToken = new JwtSecurityTokenHandler().WriteToken(token);

創(chuàng)建獲取token的端點(diǎn)

現(xiàn)在我們知道如何創(chuàng)建我們的JWT token了，我們還需要一種方法來(lái)讓客戶端獲得它們。最簡(jiǎn)單的方法是創(chuàng)建一個(gè)期望發(fā)布請(qǐng)求的web api controller action 接受一個(gè)Post請(qǐng)求，例如下面的代碼：

public class TokenController : Controller{[Route("/token")][HttpPost] ? ? ? ?public IActionResult Create(string username, string password) ? ?{ ? ?
? ?if (IsValidUserAndPasswordCombination(username, password)) ? ? ?
? ? ? ? ?return new ObjectResult(GenerateToken(username)); ? ?
? ?? ?return BadRequest();}//...

在IsValidUserAndPasswordCombination中，你可以來(lái)驗(yàn)證用戶的憑據(jù)例如使用例如ASP.NET Identity（如果你需要參考資料來(lái)學(xué)習(xí)ASP.NET Identity，你可以看這篇博客 ASP.NET Identity Core From Scratch）。

GenerateToken我們剛剛在上一節(jié)中描述過(guò)。

驗(yàn)證用戶，并使其登陸

現(xiàn)在我們有了一種發(fā)行token的方法，我們還需要一種方法來(lái)驗(yàn)證它們。我們將使用ASP.NET Core的身份驗(yàn)證中間件，并將其配置為可接受JWT token。
將Microsoft.AspNetCore.Authentication.JwtBearer NuGet包添加到你的項(xiàng)目。

$ dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer

接下來(lái)打開(kāi)Startup.cs并更新ConfigureServices方法：

public void ConfigureServices(IServiceCollection services){ ? ?//...services.AddAuthentication(options => {options.DefaultAuthenticateScheme = "JwtBearer";options.DefaultChallengeScheme = "JwtBearer"; ? ? ? ? ? ?}).AddJwtBearer("JwtBearer", jwtBearerOptions =>{ ? ? ? ? ? ? ? ? ? ? ? ?jwtBearerOptions.TokenValidationParameters = new TokenValidationParameters{ ? ? ? ? ? ? ? ? ? ? ? ? ? ?ValidateIssuerSigningKey = true,IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your secret goes here")),ValidateIssuer = true,ValidIssuer = "The name of the issuer",ValidateAudience = true,ValidAudience = "The name of the audience",ValidateLifetime = true, //validate the expiration and not before values in the tokenClockSkew = TimeSpan.FromMinutes(5) //5 minute tolerance for the expiration date};}); }

如果你不熟悉ASP.NET Core的身份驗(yàn)證中間件，則建議你閱讀External Login Providers in ASP.NET Core。

即使是關(guān)于如何使用Google，Facebook等進(jìn)行外部登陸提供程序登錄，但是這篇博客也含有有關(guān)身份驗(yàn)證中間件如何工作的詳細(xì)說(shuō)明。

此外請(qǐng)注意，這是新的ASP.NET Core 2.0語(yǔ)法，其中通過(guò)ConfigureServices方法完全配置了身份驗(yàn)證，但概念是相同的。

譯者注:External Login Providers in ASP.NET Core這篇博客在撰寫的時(shí)候使用的是 Asp.Net Core 1.x。

在這個(gè)例子中更重要的是 TokenValidationParameters 類。這是你必須實(shí)例化的類，它將用來(lái)配置如何驗(yàn)證token。

在Startup.cs中，你需要更新Configure方法并添加身份驗(yàn)證中間件：

public void Configure(IApplicationBuilder app, IHostingEnvironment env){ ? ?//...app.UseAuthentication(); //needs to be up in the pipeline, before MVC//...app.UseMvc(ConfigureRoutes);//..

Client 客戶端

web api客戶端可以是桌面應(yīng)用程序，移動(dòng)設(shè)備甚至是瀏覽器。我將要描述的例子是Web應(yīng)用程序的登錄、保存token、然后使用它來(lái)執(zhí)行對(duì)請(qǐng)求的認(rèn)證。你可以在這里找到一個(gè)可以正常工作的例子。

首先，為了能夠登陸，你需要將用戶名和密碼發(fā)送POST請(qǐng)求到“/ token”（或者你設(shè)置的獲取token的Web Api斷點(diǎn)）。你可以很容易地使用jQuery來(lái)做到這一點(diǎn)：

$.post("/token", $.param({username: "the username", password: "the password"})).done(function(token){ ? ?//save the token in local storagelocalStorage.setItem("token", token); ? ?//...}).fail(handleError);

如果一切順利，則可以將獲得JWT token，然后你可以將其保存在某個(gè)位置，通常在Web應(yīng)用程序中，我們將它保存到 local storage 中。在移動(dòng)設(shè)備上則取決于你使用的平臺(tái)，但它們都具有允許你保存token的功能（例如Android的SharedPreferences）。

對(duì)于上一節(jié)中的身份驗(yàn)證中間件，接受JWT token并將其轉(zhuǎn)換為可以在控制器操作中訪問(wèn)的User，則該請(qǐng)求必須具有 Authorization header。header的值應(yīng)該是“Bearer ”，然后是JWT token，例如：

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1l...

盡管你可以“手動(dòng)”將授權(quán)標(biāo)頭添加到每個(gè)請(qǐng)求，但通常有自動(dòng)執(zhí)行的方法。例如jQuery中有一個(gè)時(shí)間可以允許你在發(fā)送請(qǐng)求之前做一些操作，例如在這里檢查是否存在 token，如果有就加到Authentication頭里。

$.ajaxSetup({beforeSend: function(xhr) { ? ? ?
? ?if (localStorage.getItem("token") !== null) {xhr.setRequestHeader('Authorization', 'Bearer ' + localStorage.getItem("token")); ? ? ? ? ? ? ? ? ? ? ?}} }); ?

如果你使用其他框架，也有類似的機(jī)制，例如Angular有HttpInterceptors。

最后，你只需要從本地存儲(chǔ)中刪除token即可注銷：

localStorage.removeItem("token")

需要注意的一件事情是，如果客戶端執(zhí)行的操作需要用戶進(jìn)行身份驗(yàn)證，并且請(qǐng)求中沒(méi)有（有效）授權(quán)標(biāo)頭，則服務(wù)器將返回帶有401狀態(tài)碼的響應(yīng)。該響應(yīng)還將具有WWW-Authenticate:Bearer header。如果你收到這樣的響應(yīng)，則你可以通知用戶需要驗(yàn)證身份。

原文：http://www.cnblogs.com/rocketRobin/p/8058760.html

---

.NET社區(qū)新聞，深度好文，歡迎訪問(wèn)公眾號(hào)文章匯總 http://www.csharpkit.com

總結(jié)

以上是生活随笔為你收集整理的【译】使用Jwt身份认证保护 Asp.Net Core Web Api的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。