JWT跨域认证

摘要

JWT(JSON Web Token):一种跨域认证解决方案,属于一个开放的标准,它规定了一种Token实现方式,多用于OAuth2.0业务场景下;(OAuth2.0:授权机制,用来授权第三方应用,获取用户数据)

Cookie-Session验证方式:

  • 用户在浏览器端填写用户名和密码,并发送给服务端
  • 服务端对用户名和密码校验通过后会生成一份保存当前用户相关信息的session数据和一个与之对应的标识(通常称为session_id)
  • 服务端返回响应时将上一步的session_id写入用户浏览器的Cookie
  • 后续用户来自该浏览器的每次请求都会自动携带包含session_id的Cookie
  • 服务端通过请求中的session_id就能找到之前保存的该用户那份session数据,从而获取该用户的相关信息

该模式弊端:

  • 扩展性(scaling)不好,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session;
  • 依赖于客户端(浏览器)保存Cookie,并且需要在服务端存储用户的session数据;当在不同的浏览器中访问时,就无法从cookie中获取到session_id;

JWT验证的原理:

  • 服务器认证以后,签名生成一个 JSON 对象,发回给用户;之后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。这个对象,可以携带在访问的header中,或者body中、也可以是url中;
  • JWT 由三个部分组成:Header(头部)、Payload(负载)、Signature(签名)
    在这里插入图片描述
    header:保存元信息,签名的算法等;
    Payload:存放实际需要传递的数据;
    Signature:对前两部分的利用header中定义的算法来签名;

JWT缺陷

  • JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次;当不加密时,token中不要携带重要信息;
  • 由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 JWT 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
  • 为了减少盗用,JWT 不应该使用 HTTP 协议明码传输,要使用 HTTPS 协议传输;

gin中使用JWT

import jwt "github.com/appleboy/gin-jwt/v2"

初始化

JwtWrapper, err := jwt.New(&jwt.GinJWTMiddleware{
		Realm: "",

		// 用于在会话上下文中获取Token
		// handler可通过`ctx.Get(IdentityKey)`获取Token
		IdentityKey: IdentityKey,

		// jwt签名私有串
		Key: []byte(""),

		// 会话刷新最短间隔
		Timeout: time.Minute*30,

		// 会话最长有效期
		MaxRefresh: time.Hour * 12,

		// 校验用户名和密码并生成Token
		Authenticator: func(c *gin.Context) (interface{}, error) {
			token := &Token{
			}
			return token, nil
		},

		// 返回登录结果,
		LoginResponse: func(c *gin.Context, code int, token string, expire time.Time) {
			v, _ := c.Get(LoginKey)//LoginKey;login请求存取键
			login := v.(*Login) //登录结构信息
			login.Token = token 
			login.TokenExpire = " "//到期时间
			c.JSON(http.StatusOK, global.Response{Code: global.ErrCodeSuccess, Msg: "成功", Data: login})
		},

		// 返回登出结果
		LogoutResponse: func(c *gin.Context, code int) {
			c.JSON(http.StatusOK, global.Response{Code: global.ErrCodeSuccess, Msg: "成功"})
		},

		// 转换Token为键值对,交由jwt一起携带
		PayloadFunc: func(data interface{}) jwt.MapClaims {
			if v, ok := data.(*Token); ok {
				return jwt.MapClaims{
					"token_field":         "token_value",
				}
			}
			return jwt.MapClaims{}
		},

		// 从http请求中提取Token并返回给上下文
		IdentityHandler: func(c *gin.Context) interface{} {
			claims := jwt.ExtractClaims(c)
			token := &Token{
				Key:    claims["key"].(string),
			}
			return token
		},


		// 用户名密码错误,会话数据非法、超时,调用未授权接口等情况的处理
		Unauthorized: func(c *gin.Context, code int, message string) {
			ec := global.ErrCodePriviledge
			if strings.Contains(message, "expired") {
				ec = global.ErrCodeSessionGone
			}
			c.JSON(http.StatusOK, global.Response{
				Code: ec,
				Msg:  message,
			})
		},

		// token读取位置:cookie优先,其次为http头的Authorization
		TokenLookup: "cookie: cooke_key, header: Authorization",

		// http头放置token时附带的前缀
		TokenHeadName: "",

		// 时间获取函数
		TimeFunc: time.Now,

		// 阻止客户端js获取cookie
		CookieHTTPOnly: true,

		// 存储jwt令牌的cookie名称
		CookieName: CookieName,
		SendCookie: true,
	})
	if err != nil {
		panic(fmt.Errorf("create jwt middleware failed: %s", err))
	}

注册中间件

// 会话即将失效,尝试刷新
// 注意:如果会话已经持续保活超过JwtWrapper.MaxRefresh指定时间,则必须重新登录
auth.GET("/refresh_token", RefreshHandler)
auth.Use(JwtWrapper.MiddlewareFunc())
{
	auth.GET("/hello", helloHandler)
}
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.net中使用JWT(JSON Web Token)实现跨域认证是一种常见的做法。跨域是指前端应用程序在一个域上发送请求,但请求的目标资源位于另一个域上,由于浏览器的同源策略,默认情况下是不允许跨域请求的。 在ASP.NET中,可以通过配置CORS策略以允许跨域请求。首先,在Web.config或应用程序的Startup.cs文件中添加CORS中间件,并允许特定的来源域或Http请求方法: ```csharp // Startup.cs public void ConfigureServices(IServiceCollection services) { services.AddCors(options => { options.AddPolicy("AllowCorsPolicy", builder => builder .AllowAnyOrigin() .AllowAnyMethod() .AllowAnyHeader()); }); } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { app.UseCors("AllowCorsPolicy"); //其他中间件配置 } ``` 然后,在控制器或API端点中,通过`Authorize`属性进行JWT认证: ```csharp // Controller.cs [Authorize] [ApiController] [Route("api/[controller]")] public class MyController : ControllerBase { // ... } ``` 这将确保只有带有有效JWT的请求才能访问该控制器的API。 此外,在生成JWT时,需要将适当的CORS头信息包含在令牌中: ```csharp // JwtGenerator.cs public string GenerateJwtToken() { var tokenHandler = new JwtSecurityTokenHandler(); var key = Encoding.ASCII.GetBytes("your_secret_key"); var tokenDescriptor = new SecurityTokenDescriptor { // 设置其他Jwt相关参数 Subject = new ClaimsIdentity(new Claim[] { new Claim(ClaimTypes.Name, "your_name") }), // 设置CORS Header = new JwtHeader(new SigningCredentials( new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256)) { {"Access-Control-Allow-Origin", "your_origin_domain"} } }; var token = tokenHandler.CreateToken(tokenDescriptor); return tokenHandler.WriteToken(token); } ``` 通过在生成JWT时设置`Access-Control-Allow-Origin`头,将允许指定的域进行跨域请求。 总结而言,使用.net中的JWT和CORS,可以实现安全的跨域认证。配置CORS策略以允许特定的跨域请求,并在生成JWT时设置适当的CORS头信息,以确保只有带有有效JWT的请求才能访问受保护的API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值