最近阅读了《ASP.NET Core 技术内幕与项目实战——基于DDD与前后端分离》(作者杨中科)的第八章,对于Core入门的我来说体会颇深,整理相关笔记。
JWT:全称“JSON web toke”,目前流行的跨域身份验证解决方案;
标识框架(identity):由ASP.NET Core提供的框架,它采用RBAC(role-based access control)策略,内置了对用户、角色等表的管理即相关接口,从而简化了系统开发,使用EF Core对数据库进行操作。
注意:本书全篇采用“模型驱动开发”
一、JWT 实现登录的流程如下:
1、使用标识框架(identity)生成数据库
2、客户端向服务器端发送用户名、密码等请求登录
3、服务器端校验用户名、密码,如果校验成功,则从数据库中取出这个用户的 ID、角色等用户相关信息。
4、服务器端采用只有服务器端才知道的密钥来对用户信息的JSON字符串进行签名,形成签名数据。
5、服务器端把用户信息的JSON 字符串和签名拼接到一起形成JWT,然后发送给客户端。
6、客户端保存服务器端返回的 JWT,并且在客户端每次向服务器端发送请求的时候都带上这个JWT。每次服务器端收到浏览器请求中携带的JWT后,服务器端用密钥对JWT 的签名进行校验,如果校验成功,服务器端则从JWT 中的JSON 字符串中读取出用户的信息。这样服务器端就知道这个请求对应的用户了,也就实现了登录的功能。
二、实现过程及代码如下:
1、通过nuget安装必须的包:
Microsoft.AspNetCore.Identity.EntityFrameworkCore ---如果该包安装报错,请切换低版本
Microsoft.AspNetCore.EntityFrameworkCore.SqlServer
Microsoft.AspNetCore.EntityFrameworkCore.Tools
Microsoft.AspNetCore.Authentication.JwtBearer
2、通过标识框架(identity)配置生成数据库
(1)创建User类和Role类分别再继承IdentityUser<long>和IdentityRole<long>
public class User:IdentityUser<long> { //创建时间 public DateTime CreationTime { get; set; } //昵称 public string? NickName { get; set; } //JWT版本(解决JWT撤回问题) public long JWTVersion { get; set; } }
public class Role:IdentityRole<long>{}
(2)新建IdContext类,通过该类操作数据库
public class IdDbContext : IdentityDbContext<User, Role, long> { public IdDbContext(DbContextOptions<IdDbContext> options) : base(options) { } protected override void OnModelCreating(ModelBuilder modelBuilder) { base.OnModelCreating(modelBuilder); modelBuilder.ApplyConfigurationsFromAssembly(this.GetType().Assembly); } }
(3)在Program.cs中向依赖注入容器中注册与标识框架相关的服务,并对其选项进行配置(该代码参考了文章:https://www.cnblogs.com/nullcodeworld/p/16717260.html)
IServiceCollection services = builder.Services; //对IdDbContext进行配置 services.AddDbContext<IdDbContext>(opt => { string connStr = builder.Configuration.GetConnectionString("Default"); Console.WriteLine("字符连接:"+connStr); opt.UseSqlServer(connStr); }); services.AddDataProtection(); //调用AddIdentityCore添加标识框架的一些重要的基础服务 //(我们没有调用AddIdentity方法,因为AddIdentity方法实现的初始化 // 比较适合传统的MVC模式的项目,而现在我们推荐用前后端分离开发模式。) services.AddIdentityCore<User>(options => { // 对密码复杂度苛刻设置 options.Password.RequireDigit = false; options.Password.RequireLowercase = false; options.Password.RequireNonAlphanumeric = false; options.Password.RequireUppercase = false; options.Password.RequiredLength = 6; options.Tokens.PasswordResetTokenProvider = TokenOptions.DefaultEmailProvider; options.Tokens.EmailConfirmationTokenProvider = TokenOptions.DefaultEmailProvider; }); var idBuilder = new IdentityBuilder(typeof(User), typeof(Role), services); //因为UserManager、RoleManager等服务被创建的时候需要注入非常多的服务, //所以我们在使用标识框架的时候也需要注入和初始化非常多的服务 idBuilder.AddEntityFrameworkStores<IdDbContext>() .AddDefaultTokenProviders() .AddRoleManager<RoleManager<Role>>() .AddUserManager<UserManager<User>>();
(4)我们不要忘记配置在appsetting.json中配置数据库连接字符串(这里我们在连接字符串后面加上了:Encrypt=False;以解决下一步数据库迁移中出现的报错:“.....证书链是由不受信任的颁发机构颁发的”)
"ConnectionStrings": { "Default": "Data Source=.;Database=Identity;User ID=sa;Password=123456;MultipleActiveResultSets=True;Encrypt=False" }
(5)在【程序包管理器控制台】中执行命令:Add-Migration Init,再执行Update-Database执行数据库迁移代码,如果在这一步中出现错误请先仔细检查以上步骤(可能会提示“No Dbcontext was found in assembly”等错误),检查确定没有步骤上设置问题,我们新建一个MyDesignTimeDbContextFactory类继承IDesignTimeDbContextFactory<IdDbContext>,具体代码如下
class MyDesignTimeDbContextFactory : IDesignTimeDbContextFactory<IdDbContext> { public IdDbContext CreateDbContext(string[] args) { DbContextOptionsBuilder<IdDbContext> builder = new(); string connStr = Environment.GetEnvironmentVariable("ConnectionStrings:Default"); builder.UseSqlServer(connStr); return new IdDbContext(builder.Options); } }
到这我们已经完成了标识框架的配置
3、使用JWT实现登录操作
(1)在配置appsetting.json中创建JWt的密钥:SigningKey、过期时间:ExpireSeconds两个配置项;再创建一个对应该节点的配置类JWTOptions
"JWT": { "SigningKey": "这里请自定义输入一串复杂的密钥", "ExpireSeconds": "86400" }
public class JWTOptions { public string SigningKey { get; set; } public int ExpireSeconds { get; set; } }
(2)在Program.cs中对JWT进行配置(注意该代码请添加在builder.Build之前)
//jwt验证授权 services.Configure<JWTOptions>(builder.Configuration.GetSection("JWT"));//获取配置文件的JWT的key和过期时间放到JWTOptions类中 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(x => { var jwtOpt = builder.Configuration.GetSection("JWT").Get<JWTOptions>(); byte[] keyBytes = Encoding.UTF8.GetBytes(jwtOpt.SigningKey); var secKey = new SymmetricSecurityKey(keyBytes); x.TokenValidationParameters = new() { ValidateIssuer = false, ValidateAudience = false, ValidateLifetime = true, ValidateIssuerSigningKey = true, IssuerSigningKey = secKey }; });
(3)在Program.cs中的app.UseAuthorization之前添加app.UseAuthentication
app.UseAuthentication();
(4)创建JWTController类,在其中增加登录并且创建JWT的操作方法(PS:这里的[FromServices]特性实现对 Controller.Action 单独注入,当只有单个方法需要该依赖,可以采用这个特性)
[Route("api/[controller]/[action]")] [ApiController] public class JWTController : ControllerBase { private readonly UserManager<User> _userManager; public JWTController(UserManager<User> userManager) { _userManager = userManager; } /// <summary> /// 生成token的方法 /// </summary> /// <param name="claims"></param> /// <param name="options"></param> /// <returns></returns> private static string BuildToken(IEnumerable<Claim> claims, JWTOptions options) { //token到期时间 DateTime expires = DateTime.Now.AddSeconds(options.ExpireSeconds); //取出配置文件的key byte[] keyBytes = Encoding.UTF8.GetBytes(options.SigningKey); //对称安全密钥 var secKey = new SymmetricSecurityKey(keyBytes); //加密证书 var credentials = new SigningCredentials(secKey, SecurityAlgorithms.HmacSha256Signature); //jwt安全token var tokenDescriptor = new JwtSecurityToken(expires: expires, signingCredentials: credentials, claims: claims); return new JwtSecurityTokenHandler().WriteToken(tokenDescriptor); } /// <summary> /// 前端获取token的接口 /// </summary> /// <param name="req"></param> /// <param name="jwtOptions"></param> /// <returns></returns> [HttpPost] public async Task<IActionResult> Login2(LoginRequest req, [FromServices] IOptions<JWTOptions> jwtOptions) { string userName = req.UserName; string password = req.Password; var user = await _userManager.FindByNameAsync(userName); if (user == null) { return NotFound($"用户名不存在{userName}"); } var success = await _userManager.CheckPasswordAsync(user, password); if (!success) { return BadRequest("Failed"); } user.JWTVersion++;//版本号 await _userManager.UpdateAsync(user);//先把数据库用户版本号更新!!!! var claims = new List<Claim>(); claims.Add(new Claim(ClaimTypes.NameIdentifier, user.Id.ToString())); claims.Add(new Claim(ClaimTypes.Name, user.UserName)); claims.Add(new Claim(ClaimTypes.Version, user.JWTVersion.ToString())); var roles = await _userManager.GetRolesAsync(user); foreach (string role in roles) { claims.Add(new Claim(ClaimTypes.Role, role)); } string jwtToken = BuildToken(claims, jwtOptions.Value); return Ok(jwtToken); } }
(5)创建Test2Controller,实现一个测试方法,并且在控制器类上添加[Authorize],这个特性表示该控制器类下所有操作方法都需要登录后才能访问,也可以单独添加在方法上表示该方法需要登录后访问,这是很重要的一步
[Route("api/[controller]")] [ApiController] [Authorize] public class Test2Controller : ControllerBase { [HttpGet] public IActionResult Hello() { string id = this.User.FindFirst(ClaimTypes.NameIdentifier)!.Value; string userName = this.User.FindFirst(ClaimTypes.NameIdentifier)!.Value; IEnumerable<Claim> roleClaims = this.User.FindAll(ClaimTypes.Role); string roleNames = string.Join(',', roleClaims.Select(c => c.Value)); return Ok($"id={id},userName={userName},roleNames ={roleNames}"); } }
(6)Swagger没有提供设置自定义HTTP请求报文头(也就是JWT生成的token)的方式,因此传递Authoriation报文接口,我们可以通过对OpenAPI进行配置,使其可以传递Authoriation报文,至此也可以使用Postman这种软件工具调试
builder.Services.AddSwaggerGen(c => { var scheme = new OpenApiSecurityScheme() { Description = "Authorization header. \r\nExample: 'Bearer 12345abcdef'", Reference = new OpenApiReference { Type = ReferenceType.SecurityScheme, Id = "Authorization" }, Scheme = "oauth2", Name = "Authorization", In = ParameterLocation.Header, Type = SecuritySchemeType.ApiKey, }; c.AddSecurityDefinition("Authorization", scheme); var requirement = new OpenApiSecurityRequirement(); requirement[scheme] = new List<string>(); c.AddSecurityRequirement(requirement); });
重启项目,Swagger界面右上角增加了一个【Authorize】按钮,在对话框中输入“Bearer 登录生成获取的token”(注意:Bearer后面加一个空格再粘贴token)
到这个时候,我们再去请求Test2接口,顺利获取到内容
(7)解决JWT无法提取撤回的问题。我们解决方案思路采用书上的原方案:在用户表中增加一个整数类型的列JWTVersion,它代表最后次发放出去的令牌的版本号;每次登录、发放令牌的时候,我们都让JWTVersion 的值自增,同时将JWTVersion 的值也放到JWT 的负载中当执行禁用用户、撤回用户的令牌等操作的时候,我们让这个用户对应的JWTVersion的值自增,当服务器端收到客户端提交的JWT后,先把JWT中的JWTVersion值和数据库中的JWTVersion值做比较,如果JWT中JWTVersion的值小于数据库中JWTVersion的值,就说明这个JWT过期了,这样我们就实现了JWT的撤回机制。由于我们在用户表中保存了JWTVersion值,因此这种方案本质上仍然是在服务器端保存状态,这是绕不过去的,只不过这种方案是一种缺点比较少的妥协方案。
(在前面的操作中我们已经给User类新增了“JWTVersion”这个版本字段,在前面“JWTController ”控制器中的“Login2”方法中也完成了方案相应操作)
接下来新增一个操作过滤器JWTValidationFilter并且继承IAsyncActionFilter,实现对所有操作方法中JWT的检查操作
public class JWTValidationFilter : IAsyncActionFilter { private IMemoryCache memCache; private UserManager<User> userMgr; public JWTValidationFilter(IMemoryCache memCache, UserManager<User> userMgr) { this.memCache = memCache; this.userMgr = userMgr; } public async Task OnActionExecutionAsync(ActionExecutingContext context, ActionExecutionDelegate next) { var claimUserId = context.HttpContext.User.FindFirst(ClaimTypes.NameIdentifier); //对于登录接口等没有登录的,直接跳过 if (claimUserId == null) { await next(); return; } long userId = long.Parse(claimUserId!.Value); string cacheKey = $"JWTValidationFilter.UserInfo.{userId}"; User user = await memCache.GetOrCreateAsync(cacheKey, async e => { e.AbsoluteExpirationRelativeToNow = TimeSpan.FromSeconds(5); return await userMgr.FindByIdAsync(userId.ToString()); }); if (user == null) { var result = new ObjectResult($"UserId({userId}) not found"); result.StatusCode = (int)HttpStatusCode.Unauthorized; context.Result = result; return; } //jwt数据库中保存的版本号 var claimVersion = context.HttpContext.User.FindFirst(ClaimTypes.Version); long jwtVerOfReq = long.Parse(claimVersion!.Value); //由于内存缓存等导致的并发问题, //假如集群的A服务器中缓存保存的还是版本为5的数据,但客户端提交过来的可能已经是版本号为6的数据。因此只要是客户端提交的版本号>=服务器上取出来(可能是从Db,也可能是从缓存)的版本号,那么也是可以的 if (jwtVerOfReq >= user.JWTVersion) { await next(); } else { var result = new ObjectResult($"JWTVersion mismatch"); result.StatusCode = (int)HttpStatusCode.Unauthorized; context.Result = result; return; } } }
(8)把过滤器JWTValidationFilter注册到Program.cs中的全局过滤器中,并且不要忘记注册内存缓存
//过滤器 builder.Services.Configure<MvcOptions>(ops => { ops.Filters.Add<JWTValidationFilter>(); }); //内存缓存 builder.Services.AddMemoryCache();
到这里基本的使用就完成了,如有错误欢迎指正!!
(该代码参考了文章:https://www.cnblogs.com/nullcodeworld/p/16717260.html)
(参考了书籍《ASP.NET Core 技术内幕与项目实战——基于DDD与前后端分离》(作者杨中科)的第八章)