JWT使用笔记

最新推荐文章于 2024-05-29 11:42:44 发布
最新推荐文章于 2024-05-29 11:42:44 发布
阅读量867 收藏
点赞数
分类专栏: .net C# 文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zx943336311/article/details/125875629
版权
C# 同时被 2 个专栏收录
7 篇文章 0 订阅
订阅专栏
.net
6 篇文章 0 订阅
订阅专栏

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

最近公司在做系统整合, 要将原来一个系统按领域划分成不同系统, 但是登录还是交由门户登录, 考虑各方面后, 最后选择了使用Jwt做系统间交互凭证

一、什么是Jwt?

参考: https://blog.csdn.net/weixin_45070175/article/details/118559272

二、使用步骤

1.引入jwt

System.IdentityModel.Tokens.Jwt
在这里插入图片描述

2.生成jwtToken

代码如下(示例):

SecurityKey securityKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(txtKey.Text));
            var loginUser = txtUser.Text;
            
            DateTime utcNow = dateTimePicker1.Value;

            string uuid = Guid.NewGuid().ToString();
            var claims = new List<Claim>()
            {
                new Claim("uuid", uuid),
                new Claim(ClaimsName, loginUser),
                new Claim(ClaimTypes.Name, loginUser)
            };
            JwtSecurityToken jwtToken = new JwtSecurityToken(
                issuer: "aaa", //签发人
                claims: claims, //token内容
                notBefore: utcNow, //签发时间
                expires: utcNow.AddHours(4), //过期时间
                signingCredentials: new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256) //加密方式和加密key
            );

            //生成token
            txtToken.Text= new JwtSecurityTokenHandler().WriteToken(jwtToken);

2.解析jwtToken

		    try
            {
            //解析方式1, 不校验token, 直接强制解析, 不推荐使用
                var jwtToken = new JwtSecurityTokenHandler().ReadJwtToken(token);
                var jwtPayload = jwtToken.Payload;

                txtJson.Text = ConvertJsonString(JsonHelper.ToJson(jwtToken.Payload));
    			//解析后的内容
                var expDataStr = Convert.ToInt64(jwtPayload["exp"]);
                var iatDataStr = Convert.ToInt64(jwtPayload["iat"]);
				//过期时间
                txtExpData.Text= DateHelper.ToLocalDateTimeText(expDataStr);
                //签发时间
                txtIatTime.Text= DateHelper.ToLocalDateTimeText(iatDataStr);

                //解析方式2, 使用加密key进行校验解析
                SecurityKey securityKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(key));
                //解析模型跟上面生成模型保持一致
                var validateParameter = new TokenValidationParameters()
                {
                    ValidateLifetime = false,
                    ValidateAudience = false,
                    ValidateIssuer = true,
                    ValidateIssuerSigningKey = true,
                    ValidIssuer = "aaa",
                    IssuerSigningKey = securityKey
                };
                SecurityToken securityToken = null;
                var claimsPrincipal = new JwtSecurityTokenHandler().ValidateToken(token, validateParameter, out securityToken);
                //解析后的内容
                jwtPayload = ((JwtSecurityToken)securityToken).Payload;
            }
            catch (SecurityTokenException ex)
            {
                MessageBox.Show("token校验失败"+ex.Message);
            }

3. 具体使用jwt校验

  1. 前端Request发送请求时, 在header中附加上Authorization, 写入jwt-token
    在这里插入图片描述
  2. 后台添加过滤器AuthorizeFilterAttribute,继承AuthorizeAttribute,重写OnAuthorization方法, 在方法中校验jwttoken是否合法, 如果不合法,直接return掉
using Microsoft.IdentityModel.Tokens;
using System;
using System.Collections.Generic;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Security.Claims;
using System.Text;
using System.Web;
using System.Web.Mvc;

namespace Dji.LMSRule.App.Filters
{
	public class AuthorizeFilterAttribute : AuthorizeAttribute
	{
		private readonly string Authorization = "Authorization";
		private readonly string Bearer = "Bearer ";
		private readonly string ClaimsName = "name";
		/// <summary>
		/// 加密key
		/// </summary>
		private readonly SecurityKey securityKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes("这里是秘钥"));
		public override void OnAuthorization(AuthorizationContext filterContext)
		{
			var token = filterContext.HttpContext.Request.Headers.Get(Authorization);
			if (string.IsNullOrWhiteSpace(token))
			{
				AuthFailResponse(filterContext);
				return;
			}
			string userName = String.Empty;
			try
			{
				//校验token是否有Bearer前缀
				if (token.Length < Bearer.Length || !token.StartsWith(Bearer))
				{
					return;
				}

				token = token.Replace(Bearer, "");
				var validateParameter = new TokenValidationParameters()
				{
					ValidateLifetime = false,
					ValidateAudience = false,
					ValidateIssuer = true,
					ValidateIssuerSigningKey = true,
					ValidIssuer = "aaa",
					IssuerSigningKey = securityKey
				};
				SecurityToken securityToken = null;
				var claimsPrincipal = new JwtSecurityTokenHandler().ValidateToken(token, validateParameter, out securityToken);
				var jwtPayload = ((JwtSecurityToken)securityToken).Payload;

				//这里取出token里的用户名, 如果有需要用的, 可以放到session里
				userName = jwtPayload[ClaimsName] + "";
				//过期时间, 时间戳这里转换用的是int32, 超过int最大长度的时候, 这个时间戳转Exp时间会挂, 取出来是个null, 
				//这种时候,可以使用jwtPayload["exp"]
				var expTime = jwtPayload.Exp ?? jwtPayload["exp"];

				//token还有半小时就过期的时候, 自动续期, 这个理论上不应该在这里做, token的签发和续期应该都由一个系统提供接口, 其他系统只负责校验就行, 这里比较特殊, 所以写了个续期
				var tokenTime = DateHelper.ToLocalDateTime(Convert.ToInt64(expTime));
				if (tokenTime > DateTime.Now)
				{
					if (tokenTime.Value < (DateTime.Now.AddMinutes(30)))
					{
						token = GenerateToken(userName);
						//校验成功
						ClaimsIdentity identity = new ClaimsIdentity(new List<Claim>()
							{
								new Claim(ClaimsName, userName),
								new Claim(ClaimTypes.Name, userName)
							}, Bearer.Trim());
						filterContext.HttpContext.User = new ClaimsPrincipal(identity);
					}
				}
				return;
			}
			catch (SecurityTokenExpiredException ex)
            {
                //表示过期
            }
            catch (Exception ex)
            {
                //系统异常
            }
			catch (SecurityTokenException se)
			{
			//token错误
				AuthFailResponse(filterContext);
			}
		}
		private void AuthFailResponse(AuthorizationContext filterContext)
		{
			filterContext.Result = new JsonResult
			{
				Data = new AuthResult
				{
					IsSuccess = true,
					AuthErrorCode = 401,
					ErrorMessage = "无权限访问!"
				},
				JsonRequestBehavior = JsonRequestBehavior.AllowGet
			};
		}
	}
}

总结

这里就不写登录的地方了, 理论上来说, token的续期不应该放在这里, 这边是有特殊业务要求, 所以写的, 正常情况下, 应该是要登录系统提供一个接口出来, 签发和续期都交给该系统, 甚至校验也可以都交给一个系统来做, 只不过这样对接口性能要求就比较高了

猫不想吃鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT学习笔记
01-21
JWT学习笔记
JWT学习笔记1
08-03
背景了解户身份认证的种式、session验证1、客户端使户名和密码请求登录2、服务端接收请求,验证信息,成功后,在当前对话(session)保存相关数据,如户、
【学习笔记】Asp.net Core5 Web 加入JWT时 报 IDX10653 解决方案
msysj1的博客
12-12 2188
初学WebApi,在加入JWT验证时,运行后报如下错误: System.ArgumentOutOfRangeException:“IDX10653: The encryption algorithm 'System.String' requires a key size of at least 'System.Int32' bits. Key 'Microsoft.IdentityModel.Tokens.SymmetricSecurityKey', is of size: 'Syst...
AspNetCore3.1_Secutiry源码解析_4_Authentication_JwtBear
rizon886的博客
04-10 487
文章目录 AspNetCore3.1_Secutiry源码解析_1_目录 AspNetCore3.1_Secutiry源码解析_2_Authentication_核心项目 AspNetCore3.1_Secutiry源码解析_3_Authentication_Cookies AspNetCore3.1_Secutiry源码解析_4_Authentication_JwtBear AspNetCore3.1_Secutiry源码解析_5_Authentication_OAuth AspNetCore3.1_S.
The encryption algorithm ‘System.String‘ requires a key size of at least ‘System.Int32‘ bits. Key ‘M
鸣的博客
07-21 1144
原因是jwt密钥字符太小大于16字符。
什么是JWT
weixin_30604651的博客
08-21 529
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
JWT笔记
kevin_琪琪的博客
06-02 213
JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个,并且这个带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。Ps: CSRF:跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作。JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用进行连接形成
JWT 笔记
weixin_43991380的博客
09-26 125
JWT 比session更好的分布式前后端认证方案 JWT_java class SpringbootJwtApplicationTests { @Test void contextLoads() { Calendar instance = Calendar.getInstance(); instance.add(Calendar.SECOND,200); String token = JWT.create() //
jwt的学习笔记
wjl31802的博客
02-28 239
跨域认证解决方案,微服务兴起之后,原先基于session来保存用户认证信息转为用jwt等token的模式。 资料 不用自己再造轮子,重新写相关文档 JSON Web Token 入门教程(阮一峰) shiro+jwt+springboot的解决方案 补充 等之后碰到相关bug,补充到该博文中。 ...
Golang 的JWT
05-26
// Create JWT instance jwtInstance := objects.NewJWT(secretKey, refreshKey, tokenExpire) // Generate a JWT token for user with ID 123 tokenString, err := jwtInstance.GenerateToken(userID)
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
在终章笔记中主要介绍一下JWT以及总结Cookie到JWT的区别与发展,包括JWT的定义,特点,重要属性,优缺点,作用和使用场景,Cookie到JWT场景,安全等的区别。 上章:主要介绍背景和Cookie 中章:主要介绍一下Session...
Redis+MySQL+JWT
04-06
Redis+MySQL+JWT
JWTJWT笔记
kaige8312的博客
03-14 215
1. jwt简介 http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html 2.token生成 https://blog.csdn.net/hukaijun/article/details/80840253 3.token解析 网址解析 访问https://www.jsonwebtoken.io/ ...
jwt 学习笔记
低吟不作语的博客
03-25 768
JWTJava Web Token,通过 JSON 形式作为 Web 应用中的令牌,用于在各方之间安全地将信息作为 JSON 对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理授权:一旦用户登录,每个后续请求将包括 JWT,从而允许用户访问该令牌允许的路由,服务和资源信息交换:JSON Web Token 是在各方之间安全地传输信息的好方法,因为可以对 JWT 进行签名,此外,由于签名是使用标头和有效负载计算的,因此还可以验证内容是否篡改。
JWT应用学习笔记(三)—— JWT的操作使用
AlphonesEric的博客
04-09 596
1、基于springboot,启动项目时生成秘钥对 @Configuration public class Initiation implements CommandLineRunner { @Autowired private KeyConfiguration keyConfiguration; @Override public void run(Stri...
JAVAEE之多线程进阶(2)_ CAS概念、实现原理、ABA问题及解决方案
最新发布
2301_80653026的博客
05-29 1472
CAS全称Compare and swap,字面意思:”比较并交换“,它是一条 CPU 并发原语,用于判断内存中某个值是否为预期值,如果是则更改为新的值,这个过程是原子的。全称 Compare and swap, 即 “比较并交换”. 相当于通过一个原子的操作, 同时完成 “读取内存, 比较是否相等, 修改内存” 这三个步骤. 本质上需要 CPU 指令的支撑。
eggjs封装jwt
08-17
- *1* *2* *3* [Eggjs笔记:关于JWT的接口权限验证](https://blog.csdn.net/Tyro_java/article/details/106583547)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值