.NET Core中JWT+Auth2.0实现SSO,附完整源码(.NET6)

最新推荐文章于 2024-04-03 00:23:25 发布
最新推荐文章于 2024-04-03 00:23:25 发布
阅读量2k 收藏 16
点赞数 2
分类专栏: 计算机 文章标签: .netcore flask python 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuhss_com/article/details/125044511
版权
本文介绍了如何在.NET Core中利用JWT和OAuth2.0实现单点登录(SSO),包括一处登录全部登录、一处退出全部退出及双token机制的详细流程,并提供完整源码。重点讨论了SSO的关键实现,如授权码的使用、全局会话管理和安全考虑。
摘要由CSDN通过智能技术生成

🚀 优质资源分享 🚀

学习路线指引(点击解锁) 知识定位 人群定位
🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。
💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统
目录

回到顶部# 一、简介

单点登录(SingleSignOn,SSO)

指的是在多个应用系统中,只需登录一次,就可以访问其他相互信任的应用系统。

JWT

Json Web Token,这里不详细描述,简单说是一种认证机制。

Auth2.0

Auth2.0是一个认证流程,一共有四种方式,这里用的是最常用的授权码方式,流程为:

1、系统A向认证中心先获取一个授权码code。

2、系统A通过授权码code获取 token,refresh_token,expiry_time,scope。

token:系统A向认证方获取资源请求时带上的token。

refresh_token:token的有效期比较短,用来刷新token用。

expiry_time:token过期时间。

scope:资源域,系统A所拥有的资源权限,比喻scope:[“userinfo”],系统A只拥有获取用户信息的权限。像平时网站接入微信登录也是只能授权获取微信用户基本信息。

这里的SSO都是公司自己的系统,都是获取用户信息,所以这个为空,第三方需要接入我们的登录时才需要scope来做资源权限判断。

回到顶部# 二、实现目标

1、一处登录,全部登录

流程图为:

1、浏览器访问A系统,发现A系统未登录,跳转到统一登录中心(SSO),带上A系统的回调地址,

地址为:https://sso.com/SSO/Login?redirectUrl=https://web1.com/Account/LoginRedirect&clientId=web1,输入用户名,密码,登录成功,生成授权码code,创建一个全局会话(cookie,redis),带着授权码跳转回A系统地址:https://web1.com/Account/LoginRedirect?AuthCode=xxxxxxxx。然后A系统的回调地址用这个AuthCode调用SSO获取token,获取到token,创建一个局部会话(cookie,redis),再跳转到https://web1.com。这样A系统就完成了登录。

2、浏览器访问B系统,发现B系统没登录,跳转到统一登录中心(SSO),带上B系统的回调地址,

地址为:https://sso.com/SSO/Login?redirectUrl=https://web2.com/Account/LoginRedirect&clientId=web2,SSO有全局会话证明已经登录过,直接用全局会话code获取B系统的授权码code,

带着授权码跳转回B系统https://web2.com/Account/LoginRedirect?AuthCode=xxxxxxxx,然后B系统的回调地址用这个AuthCode调用SSO获取token,获取到token创建一个局部会话(cookie,redis),再跳转到https://web2.com。整个过程不用输入用户名密码,这些跳转基本是无感的,所以B就自动登录好了。

为什么要多个授权码而不直接带token跳转回A,B系统呢?因为地址上的参数是很容易被拦截到的,可能token会被截取到,非常不安全

还有为了安全,授权码只能用一次便销毁,A系统的token和B系统的token是独立的,不能相互访问。

2、一处退出,全部退出

流程图为:

A系统退出,把自己的会话删除,然后跳转到SSO的退出登录地址:https://sso.com/SSO/Logout?redirectUrl=https://web1.com/Account/LoginRedirect&clientId=web1,SSO删除全局会话,然后调接口删除获取了token的系统,然后在跳转到登录页面,https://sso.com/SSO/Login?redirectUrl=https://web1.com/Account/LoginRedirect&clientId=web1,这样就实现了一处退出,全部退出了。

3、双token机制

也就是带刷新token,为什么要刷新token呢?因为基于token式的鉴权授权有着天生的缺陷

token设置时间长,token泄露了,重放攻击。

token设置短了,老是要登录。问题还有很多,因为token本质决定,大部分是解决不了的。

所以就需要用到双Token机制,SSO返回token和refreshToken,token用来鉴权使用,refreshToken刷新token使用,

比喻token有效期10分钟,refreshToken有效期2天,这样就算token泄露了,最多10分钟就会过期,影响没那么大,系统定时9分钟刷新一次token,

这样系统就能让token滑动过期了,避免了频繁重新登录。

回到顶部#  三、功能实现和核心代码

1、一处登录,全部登录实现

建三个项目,SSO的项目,web1的项目,web2项目。

这里的流程就是web1跳转SSO输用户名登录成功获取code,把会话写到SSO的cookie,然后跳转回来根据code跟SSO获取token登录成功;

然后访问web2跳转到SSO,SSO已经登录,自动获取code跳回web2根据code获取token。

能实现一处登录处处登录的关键是SSO的cookie。

然后这里有一个核心的问题,如果我们生成的token有效期都是24小时,那么web1登录成功,获取的token有效期是24小时,

等到过了12个小时,我访问web2,web2也得到一个24小时的token,这样再过12小时,web1的登录过期了,web2还没过期,

这样就是web2是登录状态,然而web1却不是登录状态需要重新登录,这样就违背了一处登录处处登录的理念。

所以后面获取的token,只能跟第一次登录的token的过期时间是一样的。怎么做呢,就是SSO第一次登录时过期时间缓存下来,后面根据SSO会话获取的code,

换到的token的过期时间都和第一次一样。

SSO项目

SSO项目配置文件appsettings.json中加入web1,web2的信息,用来验证来源和生成对应项目的jwt token,实际项目应该存到数据库。

{
 "Logging": {
 "LogLevel": {
 "Default": "Information",
 "Microsoft.AspNetCore": "Warning"
 }
 },
 "AllowedHosts": "*",
 "AppSetting": {
 "appHSSettings": [
 {
 "domain": "https://localhost:7001",
 "clientId": "web1",
 "clientSecret": "Nu4Ohg8mfpPnNxnXu53W4g0yWLqF0mX2"
 },
 {
 "domain": "https://localhost:7002",
 "clientId": "web2",
 "clientSecret": "pQeP5X9wejpFfQGgSjyWB8iFdLDGHEV8"
 }

 ]
 }
 
}

domain:接入系统的域名,可以用来校验请求来源是否合法。

clientId:接入系统标识,请求token时传进来识别是哪个系统。

clientSecret:接入系统密钥,用来生成对称加密的JWT。

建一个IJWTService定义JWT生成需要的方法

 /// 
    /// JWT服务接口
 /// 
    public interface IJWTService
 {
 /// 
        /// 获取授权码
 /// 
        /// 
        /// 
        /// 
        /// 
         ResponseModel<string> GetCode(string clientId, string userName, string password);
 /// 
        /// 根据会话Code获取授权码
 /// 
        /// 
        /// 
        /// 
        ResponseModel<string> GetCodeBySessionCode(string clientId, string sessionCode);

 /// 
        /// 根据授权码获取Token+RefreshToken
 /// 
        /// 
        /// Token+RefreshToken
        ResponseModel GetTokenWithRefresh(string authCode);

 /// 
 /// 根据RefreshToken刷新Token
 /// 
 /// 
 /// 
 /// 
 string GetTokenByRefresh(string refreshToken, string clientId);
 }

建一个抽象类JWTBaseService加模板方法实现详细的逻辑

 /// 
    /// jwt服务
 /// 
    public abstract class JWTBaseService : IJWTService
 {
 protected readonly IOptions \_appSettingOptions;
 protected readonly Cachelper \_cachelper;
 public JWTBaseService(IOptions appSettingOptions, Cachelper cachelper)
 {
 \_appSettingOptions = appSettingOptions;
 \_cachelper = cachelper;
 }

 /// 
 /// 获取授权码
 /// 
 /// 
 /// 
 /// 
 /// 
 public ResponseModel<string> GetCode(string clientId, string userName, string password)
 {
 ResponseModel<string> result = new ResponseModel<string>();

 string code = string.Empty;
 AppHSSetting appHSSetting = \_appSettingOptions.Value.appHSSettings.Where(s => s.clientId == clientId).FirstOrDefault();
 if (appHSSetting == null)
 {
 result.SetFail("应用不存在");
 return result;
 }
 //真正项目这里查询数据库比较
 if (!(userName == "admin" && password == "123456"))
 {
 result.SetFail("用户名或密码不正确");
 return result;
 }

 //用户信息
 CurrentUserModel currentUserModel = new CurrentUserModel
 {
 id = 101,
 account = "admin",
 name = "张三",
 mobile = "13800138000",
 role = "SuperAdmin"
 };

 //生成授权码
 code = Guid.NewGuid().ToString().Replace("-", "").ToUpper();
 string key = $"AuthCode:{code}";
 string appCachekey = $"AuthCodeClientId:{code}";
 //缓存授权码
 \_cachelper.StringSet(key, currentUserModel, TimeSpan.FromMinutes(10));
 //缓存授权码是哪个应用的
 \_cachelper.StringSet<string>(appCachekey, appHSSetting.clientId, TimeSpan.FromMinutes(10));
 //创建全局会话
 string sessionCode = $"SessionCode:{code}";
 SessionCodeUser sessionCodeUser = new SessionCodeUser
 {
 expiresTime = DateTime.Now.AddHours(1),
 currentUser = currentUserModel
 };
 \_cachelper.StringSet(sessionCode, currentUserModel, TimeSpan.FromDays(1));
 //全局会话过期时间
 string sessionExpiryKey = $"SessionExpiryKey:{code}";
 DateTime sessionExpirTime = DateTime.Now.AddDays(1);
 \_cachelper.StringSet(sessionExpiryKey, sessionExpirTime, TimeSpan.FromDays(1));
 Console.WriteLine($"登录成功,全局会话code:{code}");
 //缓存授权码取token时最长的有效时间
 \_cachelper.StringSet($"AuthCodeSessionTime:{code}", sessionExpirTime, TimeSpan.FromDays(1));

 result.SetSuccess(code);
 return result;
 }
 /// 
 /// 根据会话code获取授权码
 /// 
 /// 
 /// 
 /// 
 public ResponseModel<string> GetCodeBySessionCode(string clientId, string sessionCode)
 {
 ResponseModel<string> result = new ResponseModel<string>();
 string code = string.Empty;
 AppHSSetting appHSSetting = \_appSettingOptions.Value.appHSSettings.Where(s => s.clientId == clientId).FirstOrDefault();
 if (appHSSetting == null)
 {
 result.SetFail("应用不存在");
 return result;
 }
 string codeKey = $"SessionCode:{sessionCode}";
 CurrentUserModel currentUserModel = \_cachelper.StringGet(codeKey);
 if (currentUserModel == null)
 {
 return result.SetFail("会话不存在或已过期", string.Empty);
 }

 //生成授权码
 code = Guid.NewGuid().ToString().Replace("-", "").ToUpper();
 string key = $"AuthCode:{code}";
 string appCachekey = $"AuthCodeClientId:{code}";
 //缓存授权码
 \_cachelper.StringSet(key, currentUserModel, TimeSpan.FromMinutes(10));
 //缓存授权码是哪个应用的
 \_cachelper.StringSet<string>(appCachekey, appHSSetting.clientId, TimeSpan.FromMinutes(10));

 //缓存授权码取token时最长的有效时间
 DateTime expirTime = \_cachelper.StringGet($"SessionExpiryKey:{sessionCode}");
 \_cachelper.StringSet($"AuthCodeSessionTime:{code}", expirTime, expirTime - DateTime.Now);

 result.SetSuccess(code);
 return result;

 }

 /// 
 /// 根据刷新Token获取Token
 /// 
 /// 
 /// 
 /// 
 public string GetTokenByRefresh(string refreshToken, string clientId)
 {
 //刷新Token是否在缓存
 CurrentUserModel currentUserModel = \_cachelper.StringGet($"RefreshToken:{refreshToken}");
 if(currentUserModel==null)
 {
 return String.Empty;
 }
 //刷新token过期时间
 DateTime refreshTokenExpiry = \_cachelper.StringGet($"RefreshTokenExpiry:{refreshToken}");
 //token默认时间为600s
 double tokenExpiry = 600;
 //如果刷新token的过期时间不到600s了,token过期时间为刷新token的过期时间
 if(refreshTokenExpiry>DateTime.Now&&refreshTokenExpiry600))
 {
 tokenExpiry = (refreshTokenExpiry - DateTime.Now).TotalSeconds;
 }

 //从新生成Token
 string token = IssueToken(currentUserModel, clientId, tokenExpiry);
 return token;

 }

 /// 
 /// 根据授权码,获取Token
 /// 
 /// 
 /// 
 /// 
 public ResponseModel GetTokenWithRefresh(string authCode)
 {
 ResponseModel result = new ResponseModel();

 string key = $"AuthCode:{authCode}";
 string clientIdCachekey = $"AuthCodeClientId:{authCode}";
 string AuthCodeSessionTimeKey = $"AuthCodeSessionTime:{authCode}";

 //根据授权码获取用户信息
 CurrentUserModel currentUserModel = \_cachelper.StringGet(key);
 if (currentUserModel == null)
 {
 throw new Exception("code无效");
 }
 //清除authCode,只能用一次
 \_cachelper.DeleteKey(key);

 //获取应用配置
 string clientId = \_cachelper.StringGet<string>(clientIdCachekey);
 //刷新token过期时间
 DateTime sessionExpiryTime = \_cachelper.StringGet(AuthCodeSessionTimeKey);
 DateTime tokenExpiryTime = DateTime.Now.AddMinutes(10);//token过期时间10分钟
 //如果刷新token有过期期比token默认时间短,把token过期时间设成和刷新token一样
 if (sessionExpiryTime > DateTime.Now && sessionExpiryTime < tokenExpiryTime)
 {
 tokenExpiryTime = sessionExpiryTime;
 }
 //获取访问token
 string token = this.IssueToken(currentUserModel, clientId, (sessionExpiryTime - DateTime.Now).TotalSeconds);


 TimeSpan refreshTokenExpiry;
 if (sessionExpiryTime != default(DateTime))
 {
 refreshTokenExpiry = sessionExpiryTime - DateTime.Now;
 }
 else
 {
 refreshTokenExpiry = TimeSpan.FromSeconds(60 * 60 * 24);//默认24小时
 }
 //获取刷新token
 string refreshToken = this.IssueToken(currentUserModel, clientId, refreshTokenExpiry.TotalSeconds);
 //缓存刷新token
 \_cachelper.StringSet($"Re
最低0.47元/天 解锁文章
xuhss_com
关注
专栏目录
谈谈.NET CORE OAuth 2.0
覃鸿宇的博客
03-23 1945
什么是 OAuth 2.0? OAuth 2.0 是一个委托协议,它可以让那些控制资源的人允许某个应用以代表他们来访问他们控制的资源,注意是代表这些人,而不是假冒或模仿这些人。这个应用从资源的所有者那里获得到授权(Authorization)和 access token(访问令牌),随后就可以使用这个access token 来访问资源。 假冒或模仿:客户端复制一份用户名和密码,从而获取相应...
Java服务端认证与授权:OAuth2.0与JWT的集成
最新发布
技术研究中心
10-01 305
OAuth 2.0是一个行业标准的协议,用于授权。它允许用户提供一个令牌(token),而不是用户名和密码,来访问他们存放在其他服务提供者上的信息。JSON Web Tokens是一种开放标准(RFC 7519),用于在网络应用环境间安全地传递声明。JWT是一个紧凑、URL安全的方式,用于在双方之间传递信息。
ASP.NET Core 实现sso单点登录
dotNET跨平台
10-11 952
ASP.NET Core实现SSO单点登录可以通过以下步骤实现:配置身份认证在每个需要实现SSO单点登录的应用,需要配置身份认证。可以使用OpenID Connect或OAuth 2.0等标准认证协议,也可以使用自定义的身份认证方案。认证过程需要使用一个共享的密钥或证书,以确保各个应用之间的身份认证信息的有效性和安全性。配置身份提供者将其一个应用作为身份提供者(Identity Provid...
.NET CoreJWT+OAuth2.0实现SSO完整源码.NET6)
weixin_41120428的博客
08-03 952
一、简介 单点登录(SingleSignOn,SSO)指的是在多个应用系统,只需登录一次,就可以访问其他相互信任的应用系统。JWTJson Web Token,这里不详细描述,简单说是一种认证机制。OAuth2.0OAuth2.0是一个认证流程,一共有四种方式,这里用的是最常用的授权码方式,流程为:1、系统A向认证心先获取一个授权码code。2、系统A通过授权码code获取 token,refresh_token,expiry_time,scope。token:系统A向认证方获取资源请求时带上的toke
.NET Core2.0+MVC 用Redis/Memory+cookie实现sso单点登录
04-12
该资源在.NET Core2.0+MVC环境下 用Redis/Memory+cookie实现sso单点登录,开发工具为vs2017,详情会有博客说明
.NET Core2.0+MVC 用session,cookie实现sso单点登录
04-11
SSO单点登录,代码都有注释,需要发布至少三个站点,开发环境:vs2017,win10,.NET Core2.0+MVC
(原创)springboot+springsecurity+redis+jwt+vue+iframe 做一个前后端分离的SSO单点登陆鉴权系统 类似淘宝天猫单点登陆
热门推荐
xuexishaguo的博客
12-20 3万+
1 前言 单点登陆系统,简单说就是用户登陆了www.aaa.com之后,再登陆www.bbb.com,就不需要重新输入用户名密码进行登陆,间会有一个www.sso.com的验证心。这点类似于淘宝 ,天猫,当然淘宝的验证心域名是login.taobao.com,和www.taobao.com是同一个域名。要做到无缝登陆,就需要iframe这个技术,淘宝天猫也是用的iframe,iframe还...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权 [ 源码 ]
"✧treasure mountain✧"
05-16 6780
最近在做项目的过程 需要用JWT做登录和鉴权 查了很多资料 都不甚详细 在踩过很多坑之后整理了一下 做个笔记 一、概念 什么是JWT Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519) 该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景 随着JWT的出现 使得校验方式更加简单便捷化 JWT实际上就是一个字符串 它由三部分组成:头部 载荷和签名 用[.]分隔 类似于:xxxx.xxxx.xxxx 直接根据t
单点登录SSO解决方案之SpringSecurity+JWT实现
2301_82243078的博客
04-03 494
**@author: 波波烤鸭*/try {try {resultMap.put(“msg”, “用户名或密码错误!”);try {resultMap.put(“msg”, “认证通过!”);/**@author: 波波烤鸭*///如果携带错误的token,则给用户提示请登录!
Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization)
永远热泪盈眶 坚持输出
08-09 6060
引言 在Web应用开发,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。 JwT (JSON Web Token) 是当前比较主源的Token令牌生成方案,非常适合作为登录和授权认证的凭证。 这里我们就使用 Spring Security并结合JWT实现用户认证(Authentication) 和用户授权(Authorization) 两个主要部分的安全内容。 一、JWT与Aoth2的区别 在此之前,只是停留在用的阶段,对二者的
NetCoreAuth:探索保护ASP.NET Core 2.0 Web应用程序安全的选项
02-04
NetCoreAuth 探索保护ASP.NET Core 2.0 Web应用程序的选项 相关博客文章 NetCoreAuth.App 使用Cookies保护您的MVC网站的示例。 NetCoreJWTAuth.App 使用JSON Web令牌保护Web API的另一个示例。
NET CoreJWT+OAuth2.0实现SSO完整源码.NET6)
xwnxwn的专栏
10-15 1693
https://www.cnblogs.com/wei325/p/16316004.html
.net core 2.0 jwt身份认证系统
a522481189的博客
08-16 115
经历了很久,.net core 2.0 终于发布了! 之前一直用的core 1.1,升级了2.0后发现认证的机制(Auth)发生了比较大的变化,在1.1认证配置是在Configure完成,而在2.0,认证配置则是在ConfigureServices完成,刚好对调了一下。 话不多说,直接看代码 1.ConfigureServices的认证配置 ...
Asp.net core [单点登录sso] JWT与用户身份验证的具体实现
csdn2990的博客
09-27 5139
什么是 JWT – JSON WEB TOKEN JWT官网 下面我们来具体实现 先为服务创建一个jwt 1.先给项目安装相应的包 如图: 提醒一下,这玩意要和你.net core框架版本一致。我用的3.1稳定版 接下来我们来在服务端使用JWT创建Token代码如下: [AllowAnonymous]//允许所有人访问 [HttpPost("login")] public IActionResult login([FromBody] LoginDto loginDto)
net core SSO 单点登录和控制器获取Token和UserId
StevenChen的博客
03-29 711
net core SSO 单点登录和控制器获取Token和UserId 在写WebApi时常常是要获取登录用户的oken和UserId的,本文就这个需求来分享一下我在实际项目的处理代码。
.NET基于Redis缓存实现单点登录SSO的解决方案
weixin_33829657的博客
04-19 548
一、基本概念 最近公司的多个业务系统要统一整合使用同一个登录,这就是我们耳熟能详的单点登录,现在就NET基于Redis缓存实现单点登录做一个简单的分享。 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。 普通的登录是写入session,每次获取sessio...
快速理解ASP.NET Core的认证与授权
dotNET跨平台
01-04 1734
ASP.NET Core的认证与授权已经不是什么新鲜事了,微软官方的文档对于如何在ASP.NET Core实现认证与授权有着非常详细深入的介绍。但有时候在开发过程,我们也往往会感觉无从...
ASP.NET Core实现OAuth2.0的AuthorizationCode模式
a963508700的博客
11-23 511
前言 在上一篇实现了resource owner password credentials和client credentials模式:http://www.cnblogs.com/skig/p/6079457.html ,而这篇介绍实现AuthorizationCode模式。 OAuth2.0授权框架文档说明参考:https://tools.ietf.org/html/rfc674...
spring security+jwt+oauth2.0 pdf
07-13
Spring Security是一个功能强大的安全框架,用于在Java应用程序实现身份验证和授权。JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,其包含了验证用户身份的加密信息。OAuth 2.0是一种开放标准的授权协议,它允许用户授权第三方应用程序访问受保护的资源。 Spring Security可以与JWT和OAuth 2.0结合使用,以提供更强大的身份验证和授权功能。使用JWT作为身份验证机制,可以在用户登录成功后生成一个JWT令牌,并将其加入到HTTP请求的Header。服务端可以使用JWT的信息,如用户名和权限,对请求进行验证,确保用户的身份是有效的。而OAuth 2.0允许用户通过授权服务器颁发的token来访问受保护的资源,Spring Security可以集成OAuth 2.0来实现授权验证的逻辑。 通过使用Spring Security结合JWT和OAuth 2.0,可以轻松实现可伸缩、安全的身份验证和授权机制。开发人员可以使用Spring Security提供的各种功能,如用户认证、角色授权和访问控制,来保护应用程序的敏感操作和数据。此外,使用JWT和OAuth 2.0,可以实现无状态的API身份验证和授权,提高系统的可扩展性和性能。 总之,Spring Security与JWT和OAuth 2.0的结合为应用程序提供了安全、可靠的身份验证和授权机制。开发人员可以根据具体的需求配置和使用这些功能,以保护应用程序的安全和数据的机密性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值