jwt token 过期刷新_.NET Core 2.2 应用JWT进行用户认证及Token的刷新

最新推荐文章于 2024-05-28 09:53:50 发布
最新推荐文章于 2024-05-28 09:53:50 发布
阅读量753 收藏 1
点赞数
文章标签: jwt token 过期刷新
ee7db410605aef399776dd17307163e4.gif

本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案

一、什么是JWT?

JWT(json web token)基于开放标准(RFC 7519),是一种无状态的分布式的身份验证方式,主要用于在网络应用环境间安全地传递声明。它是基于JSON的,所以它也像json一样可以在.Net、JAVA、JavaScript,、PHP等多种语言使用。为什么要使用JWT?

传统的Web应用一般采用Cookies+Session来进行认证。但对于目前越来越多的App、小程序等应用来说,它们对应的服务端一般都是RestFul 类型的无状态的API,再采用这样的的认证方式就不是很方便了。而JWT这种无状态的分布式的身份验证方式恰好符合这样的需求。

二、JWT的组成:

JWT是什么样子的呢?它就是下面这样的一段字符串:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1laWRlbnRpZmllciI6IjAwMiIsImh0dHA6Ly9zY2hlbWFzLnhtbHNvYXAub3JnL3dzLzIwMDUvMDUvaWRlbnRpdHkvY2xhaW1zL25hbWUiOiLmnY7lm5siLCJuYmYiOjE1NjU5MjMxMjIsImV4cCI6MTU2NTkyMzI0MiwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo1NDIxNCIsImF1ZCI6Imh0dHA6Ly9sb2NhbGhvc3Q6NTQyMTUifQ.Mrta7nftmfXeo_igBVd4rl2keMmm0rg0WkqRXoVAeik

它是由三段“乱码”字符串通过两个“.”连接在一起组成。官网https://jwt.io/提供了它的验证方式它的三个字符串分别对应了上图右侧的Header、Payload和Signature三部分。

Header:

Header:{"alg": "HS256", "typ": "JWT"}

标识加密方式为HS256,Token类型为JWT, 这段JSON通过Base64Url编码形成上例的第一个字符串

Payload

Payload是JWT用于信息存储部分,其中包含了许多种的声明(claims)。可以自定义多个声明添加到Payload中,系统也提供了一些默认的类型iss (issuer):签发人exp (expiration time):过期时间sub (subject):主题aud (audience):受众nbf (Not Before):生效时间iat (Issued At):签发时间jti (JWT ID):编号

这部分通过Base64Url编码生成第二个字符串。

Signature

Signature是用于Token的验证。它的值类似这样的表达式:Signature = HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret),也就是说,它是通过将前两个字符串加密后生成的一个新字符串。

所以只有拥有同样加密密钥的人,才能通过前两个字符串获得同样的字符串,通过这种方式保证了Token的真实性。

三、认证流程

大概的流程是这样的:

07d81465f8c57b1ebc5507d398a40cc4.png

  1. 认证服务器:用于用户的登录验证和Token的发放。

  2. 应用服务器:业务数据接口。被保护的API。

  3. 客户端:一般为APP、小程序等。

认证流程:

  1.  用户首先通过登录,到认证服务器获取一个Token。

  2. 在访问应用服务器的API的时候,将获取到的Token放置在请求的Header中。

  3. 应用服务器验证该Token,通过后返回对应的结果。

说明:这只是示例方案,实际项目中可能有所不同。

  1. 对于小型项目,可能认证服务和应用服务在一起。本例通过分开的方式来实现,使我们能更好的了解二者之间的认证流程。

  2. 对于复杂一些的项目,可能存在多个应用服务,用户获取到的Token可以在多个分布式服务中被认证,这也是JWT的优势之一。

关于JWT的文章很多,这里就不做过多介绍了。下面通过实际的例子来看一下 它是如何在ASP.NET Core 中应用的。

四、应用实例

上一节的图:“JWT的认证流程”中涉及到客户端、认证服务器、应用服务器三部分,下面通过示例来对这三部分进行模拟:

  1. 认证服务器:新建一个WebApi的解决方案,名为FlyLolo.JWT.Server。

  2. 应用服务器:新建一个WebApi的解决方案,名为FlyLolo.JWT.API。

  3. 客户端:这里用Fiddler发送请求做测试。

认证服务

首先新建一个ASP.NET Core 的解决方案WebApi的解决方案 

60d92e472bd3699845bef267bb655627.png

将其命名为FlyLolo.JWT.Server。

首先新建一个TokenController用于登录和Token的发放:

[Route("api/[controller]")]public class TokenController : Controller{    private ITokenHelper tokenHelper = null;    public TokenController(ITokenHelper _tokenHelper)    {        tokenHelper = _tokenHelper;    }    [HttpGet]    public IActionResult Get(string code, string pwd)    {        User user = TemporaryData.GetUser(code);        if (null != user && user.Password.Equals(pwd))        {            return Ok(tokenHelper.CreateToken(user));        }        return BadRequest();    }}

它有个名为Get的Action用于接收提交的用户名和密码,并进行验证,验证通过后,调用TokenHelper的CreateToken方法生成Token返回。

这里涉及到了User和TokenHelper两个类。

User相关:

public class User{    public string Code { get; set; }    public string Name { get; set; }    public string Password { get; set; }}

由于只是Demo,User类只含有以上三个字段。在TemporaryData类中做了User的模拟数据

/// /// 虚拟数据,模拟从数据库或缓存中读取用户/// public static class TemporaryData{    private static List Users = new List() { new User { Code = "001", Name = "张三", Password = "111111" }, new User { Code = "002", Name = "李四", Password = "222222" } };    public static User GetUser(string code)    {        return Users.FirstOrDefault(m => m.Code.Equals(code));    }}

这只是模拟数据,实际项目中应该从数据库或者缓存等读取。

TokenHelper:

public class TokenHelper : ITokenHelper{    private IOptions _options;    public TokenHelper(IOptions options)    {        _options = options;    }    public Token CreateToken(User user)    {        Claim[] claims = { new Claim(ClaimTypes.NameIdentifier,user.Code),new Claim(ClaimTypes.Name,user.Name) };        return CreateToken(claims);    }    private Token CreateToken(Claim[] claims)    {        var now = DateTime.Now;var expires = now.Add(TimeSpan.FromMinutes(_options.Value.AccessTokenExpiresMinutes));        var token = new JwtSecurityToken(            issuer: _options.Value.Issuer,            audience: _options.Value.Audience,            claims: claims,            notBefore: now,            expires: expires,            signingCredentials: new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_options.Value.IssuerSigningKey)), SecurityAlgorithms.HmacSha256));        return new Token { TokenContent = new JwtSecurityTokenHandler().WriteToken(token), Expires = expires };    }}

通过CreateToken方法创建Token,这里有几个关键参数:

  1. issuer            Token发布者

  2. Audience      Token接受者

  3. expires          过期时间

  4. IssuerSigningKey  签名秘钥

对应的Token代码如下:

public class Token{    public string TokenContent { get; set; }    public DateTime Expires { get; set; }}

这样通过TokenHelper的CreateToken方法生成了一个Token返回给了客户端。到现在来看,貌似所有的工作已经完成了。并非如此,我们还需要在Startup文件中做一些设置。

public class Startup{    // 。。。。。。此处省略部分代码    public void ConfigureServices(IServiceCollection services)    {        //读取配置信息        services.AddSingleton();        services.Configure(Configuration.GetSection("JWT"));        //启用JWT        services.AddAuthentication(Options =>        {            Options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;            Options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;        }).        AddJwtBearer();        services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);    }    public void Configure(IApplicationBuilder app, IHostingEnvironment env)    {        if (env.IsDevelopment())        {            app.UseDeveloperExceptionPage();        }        //启用认证中间件        app.UseAuthentication();        app.UseMvc();    }}

这里用到了配置信息,在appsettings.json中对认证信息做配置如下:

 "JWT": {    "Issuer": "FlyLolo",    "Audience": "TestAudience",    "IssuerSigningKey": "FlyLolo1234567890",    "AccessTokenExpiresMinutes": "30"  }

运行这个项目,并通过Fidder以Get方式访问api/token?code=002&pwd=222222,返回结果如下:

{"tokenContent":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1laWRlbnRpZmllciI6IjAwMiIsImh0dHA6Ly9zY2hlbWFzLnhtbHNvYXAub3JnL3dzLzIwMDUvMDUvaWRlbnRpdHkvY2xhaW1zL25hbWUiOiLmnY7lm5siLCJuYmYiOjE1NjY3OTg0NzUsImV4cCI6MTU2NjgwMDI3NSwiaXNzIjoiRmx5TG9sbyIsImF1ZCI6IlRlc3RBdWRpZW5jZSJ9.BVf3gOuW1E9RToqKy8XXp8uIvZKL-lBA-q9fB9QTEZ4","expires":"2019-08-26T21:17:55.1183172+08:00"}

客户端登录成功并成功返回了一个Token,认证服务创建完成

应用服务

新建一个WebApi的解决方案,名为FlyLolo.JWT.API。

添加BookController用作业务API。

[Route("api/[controller]")][Authorize]public class BookController : Controller{    // GET: api/    [HttpGet]    [AllowAnonymous]    public IEnumerable<string> Get()    {        return new string[] { "ASP", "C#" };    }    // POST api/    [HttpPost]    public JsonResult Post()    {        return new JsonResult("Create  Book ...");    }}

对此Controller添加了[Authorize]标识,表示此Controller的Action被访问时需要进行认证,而它的名为Get的Action被标识了[AllowAnonymous],表示此Action的访问可以跳过认证。

在Startup文件中配置认证:

public class Startup{// 省略部分代码    public void ConfigureServices(IServiceCollection services)    {        #region 读取配置        JWTConfig config = new JWTConfig();        Configuration.GetSection("JWT").Bind(config);        #endregion        #region 启用JWT认证        services.AddAuthentication(options =>        {            options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;            options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;        }).        AddJwtBearer(options =>        {            options.TokenValidationParameters = new TokenValidationParameters            {                ValidIssuer = config.Issuer,                ValidAudience = config.Audience,                IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(config.IssuerSigningKey)),                ClockSkew = TimeSpan.FromMinutes(1)            };        });        #endregion        services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);    }    // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.    public void Configure(IApplicationBuilder app, IHostingEnvironment env)    {        if (env.IsDevelopment())        {            app.UseDeveloperExceptionPage();        }        app.UseAuthentication();        app.UseMvc();    }}

 这里同样用到了配置:

publicclass JWTConfig{    public string Issuer { get; set; }    public string Audience { get; set; }    public string IssuerSigningKey { get; set; }    public int AccessTokenExpiresMinutes { get; set; }}

 appsettings.json:

"JWT": {"Issuer": "FlyLolo","Audience": "TestAudience","IssuerSigningKey": "FlyLolo1234567890","AccessTokenExpiresMinutes": "30"}

关于JWT认证,这里通过options.TokenValidationParameters对认证信息做了设置,ValidIssuer、ValidAudience、IssuerSigningKey这三个参数用于验证Token生成的时候填写的Issuer、Audience、IssuerSigningKey,所以值要和生成Token时的设置一致。

ClockSkew默认值为5分钟,它是一个缓冲期,例如Token设置有效期为30分钟,到了30分钟的时候是不会过期的,会有这么个缓冲时间,也就是35分钟才会过期。为了方便测试(不想等太长时间),这里我设置了1分钟。

TokenValidationParameters还有一些其他参数,在它的构造方法中已经做了默认设置,代码如下:

public TokenValidationParameters(){    RequireExpirationTime = true;    RequireSignedTokens = true;    SaveSigninToken = false;    ValidateActor = false;    ValidateAudience = true;  //是否验证接受者    ValidateIssuer = true;   //是否验证发布者    ValidateIssuerSigningKey = false;  //是否验证秘钥    ValidateLifetime = true; //是否验证过期时间    ValidateTokenReplay = false; }

 访问api/book,正常返回了结果

["ASP","C#"]

通过POST方式访问,返回401错误。

这就需要使用获取到的Toke了,如下图方式再次访问

7b545798b8bcf151fdf3fc3ebbc3d758.png

添加了“Authorization: bearer Token内容”这样的Header,可以正常访问了。

至此,简单的JWT认证示例就完成了,代码地址https://github.com/FlyLolo/JWT.Demo/releases/tag/1.0。

这里可能会有个疑问,例如:

1.Token被盗了怎么办?

答: 在启用Https的情况下,Token被放在Header中还是比较安全的。另外Token的有效期不要设置过长。例如可以设置为1小时(微信公众号的网页开发的Token有效期为2小时)。

2. Token到期了如何处理?

答:理论上Token过期应该是跳到登录界面,但这样太不友好了。可以在后台根据Token的过期时间定期去请求新的Token。下一节来演示一下Token的刷新方案。

五、Token的刷新

为了使客户端能够获取到新的Token,对上文的例子进行改造,大概思路如下:

  1. 用户登录成功的时候,一次性给他两个Token,分别为AccessToken和RefreshToken,AccessToken用于正常请求,也就是上例中原有的Token,RefreshToken作为刷新AccessToken的凭证。

  2. AccessToken的有效期较短,例如一小时,短一点安全一些。RefreshToken有效期可以设置长一些,例如一天、一周等。

  3. 当AccessToken即将过期的时候,例如提前5分钟,客户端利用RefreshToken请求指定的API获取新的AccessToken并更新本地存储中的AccessToken。

所以只需要修改FlyLolo.JWT.Server即可。

首先修改Token的返回方案,新增一个Model

public class ComplexToken{    public Token AccessToken { get; set; }    public Token RefreshToken { get; set; }}

包含AccessToken和RefreshToken,用于用户登录成功后的Token结果返回。

修改 appsettings.json,添加两个配置项:

 "RefreshTokenAudience": "RefreshTokenAudience",    "RefreshTokenExpiresMinutes": "10080" //60*24*7

RefreshTokenExpiresMinutes用于设置RefreshToken的过期时间,这里设置了7天。RefreshTokenAudience用于设置RefreshToken的接受者,与原Audience值不一致,作用是使RefreshToken不能用于访问应用服务的业务API,而AccessToken不能用于刷新Token。

修改TokenHelper:

public enum TokenType{    AccessToken = 1,    RefreshToken = 2}public class TokenHelper : ITokenHelper{    private IOptions _options;    public TokenHelper(IOptions options)    {        _options = options;    }    public Token CreateAccessToken(User user)    {        Claim[] claims = new Claim[] { new Claim(ClaimTypes.NameIdentifier, user.Code), new Claim(ClaimTypes.Name, user.Name) };        return CreateToken(claims, TokenType.AccessToken);    }    public ComplexToken CreateToken(User user)    {        Claim[] claims = new Claim[] { new Claim(ClaimTypes.NameIdentifier, user.Code), new Claim(ClaimTypes.Name, user.Name)            //下面两个Claim用于测试在Token中存储用户的角色信息,对应测试在FlyLolo.JWT.API的两个测试Controller的Put方法,若用不到可删除            , new Claim(ClaimTypes.Role, "TestPutBookRole"), new Claim(ClaimTypes.Role, "TestPutStudentRole")        };        return CreateToken(claims);    }    public ComplexToken CreateToken(Claim[] claims)    {        return new ComplexToken { AccessToken = CreateToken(claims, TokenType.AccessToken), RefreshToken = CreateToken(claims, TokenType.RefreshToken) };    }    ///     /// 用于创建AccessToken和RefreshToken。    /// 这里AccessToken和RefreshToken只是过期时间不同,【实际项目】中二者的claims内容可能会不同。    /// 因为RefreshToken只是用于刷新AccessToken,其内容可以简单一些。    /// 而AccessToken可能会附加一些其他的Claim。    ///     ///     ///     ///     private Token CreateToken(Claim[] claims, TokenType tokenType)    {        var now = DateTime.Now;        var expires = now.Add(TimeSpan.FromMinutes(tokenType.Equals(TokenType.AccessToken) ? _options.Value.AccessTokenExpiresMinutes : _options.Value.RefreshTokenExpiresMinutes));//设置不同的过期时间        var token = new JwtSecurityToken(            issuer: _options.Value.Issuer,            audience: tokenType.Equals(TokenType.AccessToken) ? _options.Value.Audience : _options.Value.RefreshTokenAudience,//设置不同的接受者            claims: claims,            notBefore: now,            expires: expires,            signingCredentials: new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_options.Value.IssuerSigningKey)), SecurityAlgorithms.HmacSha256));        return new Token { TokenContent = new JwtSecurityTokenHandler().WriteToken(token), Expires = expires };    }    public Token RefreshToken(ClaimsPrincipal claimsPrincipal)    {        var code = claimsPrincipal.Claims.FirstOrDefault(m => m.Type.Equals(ClaimTypes.NameIdentifier));        if (null != code )        {            return CreateAccessToken(TemporaryData.GetUser(code.Value.ToString()));        }        else        {            return null;        }    }}

在登录后,生成两个Token返回给客户端。在TokenHelper添加了一个RefreshToken方法,用于生成新的AccessToken。对应在TokenController中添加一个名为Post的Action,用于调用这个RefreshToken方法刷新Token

[HttpPost][Authorize]public IActionResult Post(){    return Ok(tokenHelper.RefreshToken(Request.HttpContext.User));}

这个方法添加了[Authorize]标识,说明调用它需要RefreshToken认证通过。既然启用了认证,那么在Startup文件中需要像上例的业务API一样做JWT的认证配置。

publicvoid ConfigureServices(IServiceCollection services){    #region 读取配置信息    services.AddSingleton();    services.Configure(Configuration.GetSection("JWT"));    JWTConfig config = new JWTConfig();    Configuration.GetSection("JWT").Bind(config);    #endregion    #region 启用JWT    services.AddAuthentication(Options =>    {        Options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;        Options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;    }).     AddJwtBearer(options =>     {         options.TokenValidationParameters = new TokenValidationParameters         {             ValidIssuer = config.Issuer,             ValidAudience = config.RefreshTokenAudience,             IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(config.IssuerSigningKey))         };     });    #endregion    services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);}

注意这里的ValidAudience被赋值为config.RefreshTokenAudience,和FlyLolo.JWT.API中的不一致,用于防止AccessToken和RefreshToken的混用。

再次访问/api/token?code=002&pwd=222222,会返回两个Token:

{"accessToken":{"tokenContent":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1laWRlbnRpZmllciI6IjAwMiIsImh0dHA6Ly9zY2hlbWFzLnhtbHNvYXAub3JnL3dzLzIwMDUvMDUvaWRlbnRpdHkvY2xhaW1zL25hbWUiOiLmnY7lm5siLCJodHRwOi8vc2NoZW1hcy5taWNyb3NvZnQuY29tL3dzLzIwMDgvMDYvaWRlbnRpdHkvY2xhaW1zL3JvbGUiOlsiVGVzdFB1dEJvb2tSb2xlIiwiVGVzdFB1dFN0dWRlbnRSb2xlIl0sIm5iZiI6MTU2NjgwNjQ3OSwiZXhwIjoxNTY2ODA4Mjc5LCJpc3MiOiJGbHlMb2xvIiwiYXVkIjoiVGVzdEF1ZGllbmNlIn0.wlMorS1V0xP0Fb2MDX7jI7zsgZbb2Do3u78BAkIIwGg","expires":"2019-08-26T22:31:19.5312172+08:00"},"refreshToken":{"tokenContent":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1laWRlbnRpZmllciI6IjAwMiIsImh0dHA6Ly9zY2hlbWFzLnhtbHNvYXAub3JnL3dzLzIwMDUvMDUvaWRlbnRpdHkvY2xhaW1zL25hbWUiOiLmnY7lm5siLCJodHRwOi8vc2NoZW1hcy5taWNyb3NvZnQuY29tL3dzLzIwMDgvMDYvaWRlbnRpdHkvY2xhaW1zL3JvbGUiOlsiVGVzdFB1dEJvb2tSb2xlIiwiVGVzdFB1dFN0dWRlbnRSb2xlIl0sIm5iZiI6MTU2NjgwNjQ3OSwiZXhwIjoxNTY3NDExMjc5LCJpc3MiOiJGbHlMb2xvIiwiYXVkIjoiUmVmcmVzaFRva2VuQXVkaWVuY2UifQ.3EDi6cQBqa39-ywq2EjFGiM8W2KY5l9QAOWaIDi8FnI","expires":"2019-09-02T22:01:19.6143038+08:00"}}

可以使用RefreshToken去请求新的AccessToken

 c7bba4e7922b5682b832200dcae03474.png

测试用AccessToken可以正常访问FlyLolo.JWT.API,用RefreshToken则不可以。

至此,Token的刷新功能改造完成。代码地址:https://github.com/FlyLolo/JWT.Demo/releases/tag/1.1

疑问:RefreshToken有效期那么长,被盗了怎么办,和直接将AccessToken的有效期延长有什么区别?

个人认为:1. RefreshToken不像AccessToken那样在大多数请求中都被使用。2. 应用类的API较多,对应的服务(器)也可能较多,所以泄露的概率更大一些。

7a30d6700fe8ca9d82fee07a37f51259.png

796bb544595706e1947f60f03038b7fe.png点击 【在看】与好朋友一起分享

写留言与我一起探讨

weixin_39795268
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于net core5.0的jwt过期超过一定时间则返回过期提醒,未超过则自动刷新
06-14
基于net core5.0的项目整合,涉及jwt配置、jwt刷新过期判断,拦截器、restful格式的get和post传参等等。
ASP.NET Core 3.1 JWT token实现与应用
04-25
以下是对JWT Token在ASP.NET Core 3.1中的实现和应用进行详细讲解。 1. **JWT基础概念** - JWT由三部分组成:Header(头部),Payload(负载),Signature(签名)。它们通过`.`分隔,并以Base64编码形式存储。 -...
JWT登录过期-自动刷新token方案介绍
rdhj5566的专栏
07-14 1万+
在前后分离场景下,越来越多的项目使用jwt token作为接口的安全机制,但存在jwt过期后,用户无法直接感知,假如在⽤户操作页⾯期间,突然提⽰登录,则体验很不友好,所以就有了token⾃动刷新需求。但是这个自动刷新方案,基本都离不开服务端状态存储,JWT推出思想是:去中⼼化,⽆状态化,所以有所违背类似这样的业务,有阿⾥云⾸页,没有做token刷新令牌维护,但是符合对应的思想⽤户登录成功的时候,⼀次性给他两个Token,分别为AccessToken和RefreshTokenAccessToken有效期较短,
JWTtoken过期的处理策略
最新发布
weixin_43993064的博客
05-28 1233
最简单最直接的方式用户再次输入他们的登录凭证,如用户名和密码,得到一个新的token
火影推荐程序连载68-net core集成JWT(基础)
li123128的博客
11-14 158
关于JWT的基本概念,如果有不清晰的同学,就不在这里赘述了。接下来聊聊JWT是怎么发挥作用的。 第一,安装nuget包 Microsoft.AspNetCore.Authentication.JwtBearer 第二,配置【Startup】 首先是【ConfigureServices】方法,下面要写一大堆进去 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) ..
jwttoken如何刷新
小青龙,创造,变强
02-27 4459
jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新jwttoken如何刷新
Asp.Net CoreJWT刷新Token解决方案
极客神殿
12-23 3191
Asp.Net CoreJWT刷新Token解决方案
.net core 3.1 jwt刷新token
07-05
.NET Core 3.1中,我们可以利用JWT来实现安全的用户认证并支持刷新令牌功能,以解决短期令牌(access token过期问题。 1. JWT基础:JWT由三部分组成,分别是头部(Header)、负载(Payload)和签名(Signature...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
详解ASP.NET Core Web Api之JWT刷新Token
12-16
见过一些使用JWT的童鞋会将JWT过期时间设置成很长,有的几个小时,有的一天,有的甚至一个月,这么做当然存在问题,如果被恶意获得访问令牌,那么可在整个生命周期中使用访问令牌,也就是说存在冒充用户身份,此时...
JWT登录过期自动刷新方案与token泄漏解决方案
weixin_65059058的博客
09-13 6974
JWT登录过期自动刷新方案与token泄漏解决方案
RefreshTokensWebApiExample:在ASP.NET Core Web Api项目中使用刷新jwt令牌的示例项目
05-16
在ASP.NET Web Api核心演示项目中刷新令牌 使用ASP.NET Core构建的Web Api的示例,该API使用刷新令牌使用户保持登录状态。 要了解有关在ASP.NET Core中使用Refresh和JSON Web令牌的更多信息,请阅读此回购是示例项目的。
JWTToken超时刷新策略
热门推荐
向南
09-18 3万+
背景:项目使用的shiro+jwt来做整套权限加请求安全验证,但是jwttoken自己没有超时刷新机制,所以这里简单贴出解决方案。解决方案使用Cache做缓存(使用redis也可以,效果相同)。 /** * JWTToken刷新生命周期 * 1、登录成功后将用户JWT生成的Token作为k、v存储到cache缓存里面(这时候k、v值一样) * 2、当该用...
.net core 5.0实现jwt过期一定时间之内自动刷新,一定时间之后返回过期提醒
qq_34309663的博客
06-14 2532
.net core整合jwt过期时间超过1个小时则返回过期提醒,未超过则刷新token,继续执行用户操作
ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证Token刷新
weixin_30915951的博客
08-27 960
本文将通过实际的例子来演示如何在ASP.NET Core应用JWT进行用户认证以及Token刷新方案(ASP.NET Core 系列目录) 一、什么是JWTJWT(json web token)基于开放标准(RFC 7519),是一种无状态的分布式的身份验证方式,主要用于在网络应用环境间安全地传递声明。它是基于JSON的,所以它也像json一样可以在.Net、JAVA、Jav...
前端刷新token,判断token是否过期jwt鉴权)
qq_45641978的博客
10-17 3723
4.1 什么是 JWTJWT 是 Auth0 提出的通过 对 JSON 进行加密签名来实现授权验证的方案;就是登录成功后将相关用户信息组成 JSON 对象,然后对这个对象进行某种方式的加密,返回给客户端;客户端在下次请求时带上这个 Token;服务端再收到请求时校验 token 合法性,其实也就是在校验请求的合法性。4.2 JWT 的组成JWT 由三部分组成: Header 头部、 Payload 负载 和 Signature 签名。
.Net6 生成Token刷新Token
Oracel 11G安装过程
02-26 4932
.Net6 中如何生成Token并通过refresh_token刷新Token.
jwt延期,刷新令牌还不够安全哦
洪晓鸿
04-06 2030
token的使用过程中, 可以使用HTTPS来防止Token在传输过程中被窃取,将Token存储在安全的地方(如浏览器的HttpOnly Cookie中),并定期检查和更新您的加密算法和密钥来加强安全措施, 那么HTTPS为什么可以防止Token在传输过程中被窃取, Token为什么要存放在HttpOnly Cookie中。例如,使用HTTPS来防止Token在传输过程中被窃取,将Token存储在安全的地方(如浏览器的HttpOnly Cookie中),并定期检查和更新您的加密算法和密钥。
解决asp.net core JWT token过期时间无效
kan_kongzhizhen的博客
05-10 451
关于asp.net core JWT token令牌已到过期时间仍然有效问题
jwt token 过期刷新_.net core 3.1 Jwt操作封装类,JwtHelper,支持生成、刷新
05-24
在使用 JWT 进行身份验证时,通常会设置一个过期时间,以确保用户在一段时间内保持登录状态。当 JWT 过期时,用户需要重新登录并获取新的 JWT 令牌。为了避免用户频繁重新登录,我们可以使用刷新令牌的方式来延长...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值