.Net Core下简单的JWT黑名单中间件

最新推荐文章于 2024-07-31 15:23:07 发布
最新推荐文章于 2024-07-31 15:23:07 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: .NET Core C# 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starfd/article/details/119636394
版权
C# 同时被 2 个专栏收录
108 篇文章 7 订阅
订阅专栏
.NET Core
12 篇文章 2 订阅
订阅专栏
本文介绍了如何通过JWT(JSON Web Token)的黑名单来阻止特定Token的登录。选择IDistributedCache作为分布式缓存存储JWT黑名单,当用户发起退出登录请求时,将Token写入黑名单。代码示例展示了在ASP.NET Core中如何实现这一机制,确保Token在过期后自动释放,同时检查请求是否包含标记以决定是否将Token加入黑名单。
摘要由CSDN通过智能技术生成

自从JWT认证方式在互联网上蔓延后,Session认证方式就被挤掉了一大半的生存空间,这里我们不讲JWT与Session两种方式的优缺点,我们只讲如何通过JWT的黑名单来阻止某些Token的登录。

设置黑名单,也就是说要将Token写入某个存储介质,然后考虑数据并不需要一直存在,其在有效期之后应自动释放,那这种情况下存储介质首选肯定是缓存,鉴于目前流行容器化技术,微服务概念又漫天飞的情况,缓存还得考虑支持分布式,那妥妥的必选方案就是IDistributedCache,这样究竟是单体应用MemoryCache,还是分布式Redis,亦或是其它方式都可以任君选择。

选好了存储介质,那就要确定程序通过什么标志来判断确定当前是要将Token写入黑名单,一般来说Authorization是写在HttpHeader里,那我们也可以考虑在HttpHeader里增加一个Key来标志当前请求是要注册黑名单,这里我们选用Loginout,毕竟一般来说也就是退出登录时,才需要设置黑名单。

下面开始来具体的代码,这里是按照微软定义的Restful规范通过StatusCode来返回执行结果

    using Microsoft.AspNetCore.Http;
    using Microsoft.Extensions.Caching.Distributed;
    public class JWTBlacklistMiddleware
    {
        private const string AuthenticationHeader = "Authorization";
        private const string AuthenticationScheme = "Bearer";
        private const string LoginoutHeader = "Loginout";//退出登录的Header
        private const int CacheExpiration = 36000;//缓存过期时间 秒,不解析jwt数据,直接将缓存时间设置为Token的最大有效时间,以空间换性能

        private readonly RequestDelegate _next;
        private readonly IDistributedCache _cache;

        public JWTBlacklistMiddleware(RequestDelegate next, IDistributedCache cache)
        {
            this._next = next;
            this._cache = cache;
        }

        public async Task InvokeAsync(HttpContext context)
        {
            var auth = context.Request.Headers[AuthenticationHeader].FirstOrDefault();
            if (!string.IsNullOrWhiteSpace(auth) && auth.StartsWith(AuthenticationScheme))
            {
                var token = auth.Substring(AuthenticationScheme.Length).Trim();
                var tokenMd5 = MD5Helper.HashOf(token);//通过摘要方式降低存储空间,如果担心碰撞问题导致不应该过期的Token也过期了,可以将整个Token作为Key的一部分,Redis的Key支持512M
                var cacheKey = $"TokenBLK:{tokenMd5}";
                if (context.Request.Headers[LoginoutHeader].FirstOrDefault() != null)//只要带了LoginoutHeader并且value不为null,就认为是要记录黑名单
                {
                    //将Token的摘要写入黑名单
                    await this._cache.SetStringAsync(cacheKey, "1", new DistributedCacheEntryOptions
                    {
                        AbsoluteExpirationRelativeToNow = TimeSpan.FromSeconds(CacheExpiration)
                    });
                    context.Response.StatusCode = 200;
                    return;
                }
                else if ((await this._cache.GetStringAsync(cacheKey)) != null)
                {//如果是黑名单,直接返回401
                    context.Response.StatusCode = 401;
                    return;
                }
            }
            await this._next(context);
        }
    }

上面代码中的MD5Helper具体源码可见此处
使用时也只需要在StartupUseMiddleware,然后需注意下Use的位置,一般来说应该在UseStaticFiles之后,在UseAuthentication之前

        public void Configure(IApplicationBuilder app, IHostEnvironment env)
        {
            app.UseMiddleware<JWTBlacklistMiddleware>();
        }
娃都会打酱油了
关注
专栏目录
ASP.NET Core IP白名单
qq_26888481的博客
10-15 1542
因业务需要,给认证服务器增加一个ip白名单功能,网上百度一圈,没有合适的方案,只有 晓晨Master 一篇文章实现了url地址过滤, ASP.NET Core 使用UrlFirewall对请求进行过滤 既然已经有造好的轮子,就在此基础上增加了ip过滤的功能 配置文件增加了IpBlackList项,ip=0.0.0.0时,不过滤 { "Logging": { "IncludeS...
[ASP.NET Core MVC 入门教程笔记] P2 MVC02
shulixu的博客
05-29 286
文件的伺服 传统 ASP.NET 根目录的文件都被伺服 某些重要文件不会被伺服 黑名单策略 ASP.NET Core 只有 wwwroot 被伺服 白名单策略 项目配置文件(.csproj) <PackageReference Include="Microsoft.AspNetCore.App" />引用的库是一个整合库称为 Meta PackageASP.NET Co...
.net core 关于使用中间件刷新jwt token
weixin_43632687的博客
03-10 601
using Microsoft.Extensions.Options; using Microsoft.IdentityModel.Tokens; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; namespace EFCoreJWT { public class RefrashTokenMiddle { public RequestDelegat
JWT及优缺点分析
最新发布
qq_37567215的博客
07-31 747
JWT(JSON Web Token)是目前最流行的跨域认证解决方案,是一种基于Token的认证授权机制。从JWT的全称可以看出,JWT本身也是Token,一种规范化之后的JSON结构的Token。JWT自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储Session信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT更符合设计RESTFUL API时的。无状态原则:授权服务器不需要维护任何状态;令牌本身就是验证令牌持有者授权所需的全部内容。
Asp.Net Core安全防护-客户端IP白名单限制
https://github.com/conanl5566
11-20 574
前言 本篇展示了如何在ASP.NET Core应用程序中设置IP白名单验证的2种方式。 你可以使用以下2种方式: 用于检查每个请求的远程 IP 地址的中间件。 MVC 操作筛选器,用于检查针对特定控制器或操作方法的请求的远程 IP 地址。 中间件 Startup.Configure方法将自定义AdminSafeListMiddleware中间件类型添加到应用的请求管道。使用 .NET Core 配置提供程序检索到该安全,并将其作为构造函数参数进行传递。 ...
express-jwt-blacklist:用于令牌黑名单的express-jwt插件
05-16
表达jwt黑名单 一个库,旨在作为中间件的补充插件。 简单的例子 var express = require ( 'express' ) ; var jwt = require ( 'express-jwt' ) ; var blacklist = require ( 'express-jwt-blacklist' ) ; var app = express ( ) ; app . use ( jwt ( { secret : 'my-secret' , isRevoked : blacklist . isRevoked } ) ) ; app . get ( '/logout' , function ( req , res ) { blacklist . revoke ( req . user ) res . sendStatus ( 200 ) ; } ) ; va
net core 使用jwt
qq_51172697的博客
04-29 1578
1. 安装必要的包首先,确保你的.NET Core项目中安装了处理JWT相关的包,比如和。可以通过NuGet包管理器来安装。
asp.net Core 3.0 集成JWT Demo
03-09
另一种是在服务器端存储JWT黑名单,一旦发现某个令牌被标记为无效,就拒绝其后续请求。当用户登录状态改变(如登出)时,更新这些存储以确保已发出的令牌不再有效。 5. API接口的权限验证: 对于API接口,通常...
ASP.NET Core学习之使用JWT认证授权详解
10-14
对于注销操作,由于JWT令牌的无状态特性,通常需要在数据库或缓存中存储黑名单,标记已注销的令牌。 JWT的优势在于其无状态性和跨域支持,但也有其局限,如难以注销已发布的令牌,可能增加网络带宽消耗,以及每次...
WebApi-Authentication:创建jwt的示例
03-26
同时,为了安全性,需要一种机制来撤销已分发的令牌,例如将其添加到黑名单中。 8. **JWT的安全考量** 尽管JWT提供了一种安全的认证方式,但也需要注意一些安全最佳实践,如: - 使用足够长且随机的密钥。 - 设置...
.net core使用Jwt授权验证
10-30
.net core使用Jwt授权验证,使用版本为.net core2.2,微软已经集成使用很方便
Asp.Net Core认证-Jwt-基础篇
关关长语
09-08 1784
Jwt作为现有世面常用的系统认证方式,在Asp.Net Core也是官方在支持,以下为CoreJwt的基础操作流程。
SpringBoot + SpringSecurity + Mybatis-Plus + JWT + Redis 实现分布式系统认证和授权(刷新Token和Token黑名单)...
C3Stones
07-15 1133
1. 前提   本文在基于SpringBoot整合SpringSecurity实现JWT的前提中添加刷新Token以及添加Token黑名单。在浏览之前,请查看博客:   SpringBoot + SpringSecurity + Mybatis-Plus + JWT实现分布式系统认证和授权 2. 添加Redis依赖及配置 Redis安装   Docker 安装并部署Tomcat、Mys...
Oauth2 + JWT登出(黑名单方案)
这个时代,作为程序员可能要学习小程序
12-23 470
点击上方关注 “终端研发部”设为“星标”,和你一起掌握更多数据库知识来源:blog.csdn.net/lbjfish/article/details/109321044上一篇:面试官:int(1) 和 int(10) 有什么区别?大家好,我是终端研发部的小于哥。说明首先说一下,本人不建议用JWT这种token方式,还是建议大家用RedisTokenStore方案,比较成熟。因为JWT是无状态的,这...
【SSO单点登录03】使用黑白名单机制解决JWT主动注销和防篡改
m0_63546281的博客
04-15 638
本篇基于使用JWT进行用户认证和授权使用问题的改进,使用黑白机制进行token主动注销和防篡改。
结合 JWT 与 Refresh Token 达到黑名单失效机制
weixin_39720414的博客
09-07 513
当php启动时、会去寻找php.ini、进行环境的初始化,如果不使用FastCGI的情况下,每一个请求都会做这个动作,很明显浪费系统资源,所以FastCGI会先启动一个master,解析配置文件用,接下来再启动worker,当请求过来时、master会递资讯给worker,然后接下来等下一个请求,有这个机制就不用每一次重新跑一次初始化的动作了。所以最后才会造成如果修改php.ini档案之后,才需要重新启动php-fpm,原因就是这个样子。Fastcgi是一个协议,其实是php-fpm实现了这个协议。
取代JWT,使用Redis来管理Token
weixin_41070914的博客
04-13 1586
模仿JWT,写基于Redis的鉴权Token管理,解决JWT是无状态的问题,JWT续期流程略麻烦,得前端配合更换TOKEN 示例代码使用Spring Boot编写 代码已经上传码云 Redis_Token示例 示例代码已经集成全局异常拦截,拦截器配置等等,下载了可以根据自己业务需求去更改。 ...
【SSO单点登录】JWT如何防篡改&&主动注销【黑白名单机制】
m0_57042151的博客
10-13 1583
这种方式和cookie/session机制中的会话失效删除session基本一致,但同时也违背了JWT的初衷,每次登录,我们都需要存储token,跟session一样有内存开销问题。上文我们谈到,一般注销只需要前端销毁存储在客户端的token即可,但那样的话,其实token本质上是还能用,一旦泄露了,你的登录状态就能被别人利用。黑名单机制,巧妙的解决了存储的问题,而且存储量是远远小于,大多数情况下,登录状态都是token自动过期了,而不是用户主动注销。JWT 安全的核心在于签名,签名安全的核心在秘钥。
.NET Core WebAPI JWT 认证深度解析
使用.NET Core的Middleware机制,可以创建一个专门的JWT验证中间件,它在每个请求进入时检查JWT的有效性。如果验证失败,可以返回错误响应,阻止请求继续处理。 6. **安全注意事项**: - JWT的SecretKey必须安全...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值