.net core中过滤器JWT提前撤回

已于 2022-11-02 13:24:32 修改
阅读量343 收藏 1
点赞数
分类专栏: .netCore 文章标签: .netcore microsoft
于 2022-02-19 21:48:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43632687/article/details/123024543
版权

我们都知道JWT是一个无状态的,存储在客户端,服务端无法提前撤回。这里的解决思路是生成JWT时,给一个版本号,用户再次登录时,版本号加一,当用户使用旧的JWT登录的时候,会比对数据库中存储的version以及JWT中的version,假如不一样则登录失败
本文使用Identity实现RBAC

  1. 给用户表添加JWTVersion字段
using Microsoft.AspNetCore.Identity;

namespace EFCoreJWT
{
    public class MyUser: IdentityUser<long>
    {
        public long JWTVersion { get; set; }
    }
}
  1. 生成JWT时,添加JWTVersion ,并入库
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Identity;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Options;
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;

namespace EFCoreJWT.Controllers
{
    [Route("api/[controller]/[action]")]
    [ApiController]
    public class TestController : ControllerBase
    {
        private readonly UserManager<MyUser> _userManager;
        private readonly RoleManager<MyRole> _roleManager;
        private readonly IOptionsSnapshot<Config> _config;
        public TestController(UserManager<MyUser> userManager, RoleManager<MyRole> roleManager, IOptionsSnapshot<Config> config)
        {
            _userManager = userManager;
            _roleManager = roleManager;
            _config = config;
        }


        [Authorize(Roles ="admin")]
        [HttpPost]
        public async Task<ActionResult<string>> GenerateToken(string username)
        {
            string getfromtoken = this.User.FindFirst(ClaimTypes.Name)?.Value;
            MyUser myUser =await _userManager.FindByNameAsync(username);
            if (myUser==null)
            {
                return BadRequest("用户不存在");
            }
            var token = await _userManager.GeneratePasswordResetTokenAsync(myUser);

            return token;
        }


        
        [HttpPost]
        [NoCheckVersion]
        public async Task<string> GenerateJWTToken(string username,string password)
        {
            MyUser user =await _userManager.FindByNameAsync(username);

            if (user == null)
            {
                return "failed";
            }

            var success =await _userManager.CheckPasswordAsync(user, password);

            if (!success)
            {
                return "failed";
            }

            string token =await GenerateJSONWebToken(user);
            return token;
        }


        private async Task<string> GenerateJSONWebToken(MyUser userInfo)
        {
            var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config.Value.Key));
            var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);
            userInfo.JWTVersion++;

            await _userManager.UpdateAsync(userInfo);

            var claims=new List<Claim>{
                            new Claim(ClaimTypes.Name, userInfo.UserName),
                            new Claim(ClaimTypes.NameIdentifier,userInfo.Id.ToString()),
                            new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
                            new Claim("JWTVersion",userInfo.JWTVersion.ToString()),
                        };

            var roles =await _userManager.GetRolesAsync(userInfo);

            foreach (var item in roles)
            {
                claims.Add(new Claim(ClaimTypes.Role, item));
            }

            var token = new JwtSecurityToken(_config.Value.Issuer,
              _config.Value.Issuer,
              claims,
              expires: DateTime.Now.AddMinutes(120),
              signingCredentials: credentials);

            return new JwtSecurityTokenHandler().WriteToken(token);
        }

    }
}
  1. 添加attribute,这个attribute标记的方法不会check version
namespace EFCoreJWT
{

    public class NoCheckVersion:Attribute
    {
    }
}
  1. 添加过滤器,实现version的比对
    记住不要忘了next
using Microsoft.AspNetCore.Identity;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Controllers;
using Microsoft.AspNetCore.Mvc.Filters;
using System.Security.Claims;

namespace EFCoreJWT
{
    public class JWTFilter : IAsyncActionFilter
    {
        private readonly UserManager<MyUser> _userManager;

        public JWTFilter(UserManager<MyUser> userManager)
        {
            _userManager = userManager;
        }

        public async Task OnActionExecutionAsync(ActionExecutingContext context, ActionExecutionDelegate next)
        {


            ControllerActionDescriptor? acti = context.ActionDescriptor as ControllerActionDescriptor;

            if (acti == null)
            {
                await next();
                return;
            }

            if (acti.MethodInfo.GetCustomAttributes(typeof(NoCheckVersion),true).Any())
            {
            //不检查,继续往下走
                await next();
                return;
            }

            var version = context.HttpContext.User.FindFirst("JWTVersion")?.Value;

            if (version == null)
            {
                context.Result = new ObjectResult(new { code = 400, msg = "error" });
                return;
            }

            var user =await _userManager.FindByNameAsync(context.HttpContext.User.FindFirst(ClaimTypes.Name)?.Value);

            if (user.JWTVersion> Convert.ToInt64( version))
            {
                context.Result = new ObjectResult(new {code =400,msg= "error"});
                return;
            }
            await next();
        }
    }
}
  1. programe中添加过滤器
builder.Services.Configure<MvcOptions>(opt =>
{
    opt.Filters.Add<JWTFilter>();

});

至此完成所有工作

会飞的尼古拉斯
关注
专栏目录
JWT提前撤回
qq_24769781的博客
06-13 115
当遇到用户被删除或者用户在另一个设备上登陆等场景时需要将JWT提前撤回,但是JWT是保存在客户端,无法在服务器进行删除。:是在用户表增加一列JWTVersion,用来存储最后一次发放出去的令牌版本号,每次登陆、发放令牌的时候都让JWTVersion自增,当服务器收到客户端提交的JWT后,将客户端的JWTVersion和服务器的进行比较,如果客户端的值小于服务器的值则过期。
8.3JWT提前撤回
博客
08-27 551
8.3JWT提前撤回
JWT的学习(3)之解决JWT无法提前撤回的难题
qq_71012549的博客
01-10 346
再如,用户在 A设备上登录了,稍后又在B设备上登录了,我们就需要把用户在 A设备上登录获得的 JWT 撤回,否则就会出现用户同时在多个设备上登录的问题。当服务器端收到客户端提交的JWT后,先把JWT JWTVersion 值和数据库JWTVersion 值做比较,如果JWTJWTVersion的 值小于数据库 JWTVersion 的值,就说明这个 JWT 过期了,这样我们就实现了 JWT撤回 机制。第三步:编写一个操作筛选器,统一实现对所有的控制器的操作方法JWT令牌的检查操作。
JWT 令牌撤销:心化控制与分布式Kafka处理
09-21 460
撤销的令牌存储在内存,在合适的数据结构定位令牌是一个快速的过程(如果我们使用 HashMap,它将是O(1))。当访问令牌的生命周期到期并且用户收到401 Unauthorized响应时,他们应该请求/refresh-token端点,将刷新令牌值作为参数传递,并接收新的访问令牌/刷新令牌对作为响应。在最坏的情况下,令牌泄露后,它的有效期还有 15 分钟,之后它将exp小于当前时间,并且令牌将被任何微服务拒绝。令牌被撤销的时间与微服务使用和处理撤销消息的时间之间可能存在轻微的延迟。
浅谈 asp.net core JWT 无法撤回的难题
q8812345qaz的博客
10-11 391
假如 在 客户端1进行 登录 2次,数据库的version 就变为 2。如果在 客户端2在进行 登录一次,然后 version记录会 变为 3次,重点来了,笔者 通过 当前的客户端 用户 的 version 与 数据库的 version 记录做 比较,如果 当前客户端用户的 version < 数据库的version记录,那么 就可以认为 这条 JWT失效,如果注销用户,也自动再加1次,这个正好 可以 解决上面 提到的问题。然后在使用 ActionFilter 进行 过滤。我们来合理的 分析下。
ASP.NET Core学习之使用JWT认证授权详解
12-16
概述 认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, ...
ASP.NET Core 使用 JWT 实现令牌认证及授权范例程序代码
07-02
在这个场景,我们关注的是如何在ASP.NET Core利用JSON Web Tokens (JWT)进行身份验证和授权。JWT是一种轻量级的身份验证机制,适用于分布式系统,因为它不需要在服务器之间存储会话信息。 JWT通常包含三个部分...
ASP.Net Core3.0使用JWT认证的实现
12-23
JWT认证简单介绍 关于Jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构。 JWT主要由三部分组成,如下: HEADER.PAYLOAD.SIGNATURE HEADER 包含token的元数据,主要是加密算法,和签名的类型,如下面的信息...
详解ASP.NET Core Web Api之JWT刷新Token
12-16
见过一些使用JWT的童鞋会将JWT过期时间设置成很长,有的几个小时,有的一天,有的甚至一个月,这么做当然存在问题,如果被恶意获得访问令牌,那么可在整个生命周期使用访问令牌,也就是说存在冒充用户身份,此时...
JWT过滤器
m0_74795259的博客
12-13 594
过滤器
JWT无法撤回问解决
weixin_57062986的博客
08-11 76
var result = new ObjectResult($"jwtversion mismatch,如:在其他地方登录");3.添加行为拦截器判断当前用户jwtversion与数据jwtversion大小,如果数据的jwtversion大于当初用户,则用户登陆失效。return ResultHelper.Error("用户名或密码错误");2.用户每登陆一次JWTVersion自动加一,并保存在数据库且加入到jwt生成的token;在jwt生成:加入JWTversion。
浅谈踢人下线的设计思路!(附代码实现方案)
shengzhang_的博客
01-21 2280
前言 前两天写了一篇文章,主要讲了下java如何实现踢人下线,原文链接:java如何踢人下线?封禁某个账号后使其会话立即掉线! 本来只是简单阐述一下踢人下线的业务场景和实现方案,没想到引出那么多大佬把小弟喷的睁不开眼睛,为了避免大家继续喷我,特再写下此篇文章,彻底讲清楚各种场景下踢人下线的设计思路,如有不足之处还请各位大佬轻喷! 好了废话不多说,正文开始 正文 如果把踢人下线比喻成拆房子,那么在学会拆房之前,我们必须要了解这座房子是怎么盖起来的,不同的盖法对应不同的拆法,不能混为一谈 对于目前大多数系统
net6 项目搭建及引用框架记录(log4net,autofac,exception,api result,jwt,efcore)六、添加身份验证,引入JWT
yexuanbaby的专栏
09-27 737
net6 项目搭建及引用框架记录(log4net,autofac,exception,api result,jwt,efcore
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 4072
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController新建Login接口来获取Token。在appsettings.json配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
JWT 弊端解决思路(主动过期\权限更新)
编程大白菜
08-26 2912
JWT 弊端解决思路(主动过期\权限更新)
Jwt登录退出
10000guo的博客
06-09 1396
【代码】Jwt登录退出。
在ASP.NET Core Web API 6应用JWT访问令牌和刷新令牌
最新发布
寒冰屋的专栏
11-28 782
在本教程,我们将构建一个简单、安全且可靠的RESTful API项目,以正确验证用户并授权他们对API执行操作。 在本教程,我们将学习如何在ASP.NET Core Web API 6应用JWT访问令牌和刷新令牌。我们将构建一个简单、安全且可靠的RESTful API项目来正确验证用户并授权他们对API执行操作。
单点或多设备互踢
03-31 374
4、判断设备信息不一致redis失效原来的token,产生新token可互踢。3、同时token和设备信息存cookie。2、token信息存储到redis。1、登录后用Jwt生成token。拦截器示例代码为不允许多设备登录。
jwt 如何实现踢人,session 和 jwt 鉴权的区别
布里渊区
02-14 2006
Session流程: 1、登录 2、服务端产生session并保存在内存,并向客户端写入sessionId 3、客户端请求,带上cookie的sessionId 4、客户端根据sessionId 去验证身份 JWT流程: 1、登录 2、服务端根据用户信息,加密生成token,并返回给客户端 3、客户端请求header里面带上token 4、服务端根据带上来的token,用私钥解密,得到用户信息,验证身份 区别: session机制是把一把钥匙保存在客户端,请求的时候
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值