jwt认证简单介绍

    关于jwt的介绍网上很多，此处不在赘述，我们主要看看jwt的结构。

    jwt主要由三部分组成，如下：

header.payload.signature

    header包含token的元数据，主要是加密算法，和签名的类型，如下面的信息，说明了

加密的对象类型是jwt，加密算法是hmac sha-256

{"alg":"hs256","typ":"jwt"}

    然后需要通过base64编码后存入token中

eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9    

    payload主要包含一些声明信息（claim），这些声明是key-value对的数据结构。

通常如用户名，角色等信息，过期日期等，因为是未加密的，所以不建议存放敏感信息。

{"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name":"admin","exp":1578645536,"iss":"webapi.cn","aud":"webapi"}

也需要通过base64编码后存入token中

eyjodhrwoi8vc2nozw1hcy54bwxzb2fwlm9yzy93cy8ymda1lza1l2lkzw50axr5l2nsywltcy9uyw1lijoiywrtaw4ilcjlehaioje1nzg2ndu1mzysimlzcyi6indlymfwas5jbiisimf1zci6ildlykfwasj9 

     signaturejwt要符合jws(json web signature)的标准生成一个最终的签名。把编码后的header和payload信息加在一起，然后使用一个强加密算法，如 hmacsha256，进行加密。hs256(base64(header).base64(payload)，secret)

2_akeh40lr2qwekgjm8tt3lessbktdethmjmo_3jpf4

    最后生成的token如下

eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjodhrwoi8vc2nozw1hcy54bwxzb2fwlm9yzy93cy8ymda1lza1l2lkzw50axr5l2nsywltcy9uyw1lijoiywrtaw4ilcjlehaioje1nzg2ndu1mzysimlzcyi6indlymfwas5jbiisimf1zci6ildlykfwasj9.2_akeh40lr2qwekgjm8tt3lessbktdethmjmo_3jpf4

开发环境

框架：asp.net 3.1

ide：vs2019

asp.net 3.1 webapi中使用jwt认证

    命令行中执行执行以下命令，创建webapix项目：

dotnet new webapi -n webapi -o webapi

    特别注意的时，3.x默认是没有jwt的microsoft.aspnetcore.authentication.jwtbearer库的，所以需要手动添加nuget package，切换到项目所在目录，执行 .net cli命令

dotnet add package microsoft.aspnetcore.authentication.jwtbearer --version 3.1.0

    创建一个简单的poco类，用来存储签发或者验证jwt时用到的信息

using newtonsoft.json;
using system;
using system.collections.generic;
using system.linq;
using system.threading.tasks;

namespace webapi.models

{
    public class tokenmanagement
    {
        [jsonproperty("secret")]
        public string secret { get; set; }

        [jsonproperty("issuer")]
        public string issuer { get; set; }

        [jsonproperty("audience")]
        public string audience { get; set; }

        [jsonproperty("accessexpiration")]
        public int accessexpiration { get; set; }

        [jsonproperty("refreshexpiration")]
        public int refreshexpiration { get; set; }
    }
}

    然后在 appsettings.development.json 增加jwt使用到的配置信息（如果是生成环境在appsettings.json添加即可）

"tokenmanagement": {
        "secret": "123456",
        "issuer": "webapi.cn",
        "audience": "webapi",
        "accessexpiration": 30,
        "refreshexpiration": 60
    }

    然后再startup类的configureservices方法中增加读取配置信息

public void configureservices(iservicecollection services)
        {
            services.addcontrollers();
            services.configure<tokenmanagement>(configuration.getsection("tokenmanagement"));
            var token = configuration.getsection("tokenmanagement").get<tokenmanagement>();

        }

    到目前为止，我们完成了一些基础工作，下面再webapi中注入jwt的验证服务，并在中间件管道中启用authentication中间件。

    startup类中要引用jwt验证服务的命名空间

using microsoft.aspnetcore.authentication.jwtbearer;
using microsoft.identitymodel.tokens;

    然后在configureservices方法中添加如下逻辑

services.addauthentication(x =>
            {
                x.defaultauthenticatescheme = jwtbearerdefaults.authenticationscheme;
                x.defaultchallengescheme = jwtbearerdefaults.authenticationscheme;
            }).addjwtbearer(x =>
            {
                x.requirehttpsmetadata = false;
                x.savetoken = true;
                x.tokenvalidationparameters = new tokenvalidationparameters
                {
                    validateissuersigningkey = true,
                    issuersigningkey = new symmetricsecuritykey(encoding.ascii.getbytes(token.secret)),
                    validissuer = token.issuer,
                    validaudience = token.audience,
                    validateissuer = false,
                    validateaudience = false
                };
            });

    再configure方法中启用验证

public void configure(iapplicationbuilder app, iwebhostenvironment env)
        {
            if (env.isdevelopment())
            {
                app.usedeveloperexceptionpage();
            }

            app.usehttpsredirection();

            app.useauthentication();
            app.userouting();

            app.useauthorization();

            app.useendpoints(endpoints =>
            {
                endpoints.mapcontrollers();
            });
        }

    上面完成了jwt验证的功能，下面就需要增加签发token的逻辑。我们需要增加一个专门用来用户认证和签发token的控制器，命名成authenticationcontroller，同时增加一个请求的dto类

public class loginrequestdto
    {
        [required]
        [jsonproperty("username")]
        public string username { get; set; }


        [required]
        [jsonproperty("password")]
        public string password { get; set; }
    }

[route("api/[controller]")]
    [apicontroller]
    public class authenticationcontroller : controllerbase
    {
        [allowanonymous]
         [httppost, route("requesttoken")]
        public actionresult requesttoken([frombody] loginrequestdto request)
        {
            if (!modelstate.isvalid)
            {
                return badrequest("invalid request");
            }

            return ok();

        }
    }

    目前上面的控制器只实现了基本的逻辑，下面我们要创建签发token的服务，去完成具体的业务。第一步我们先创建对应的服务接口，命名为iauthenticateservice

public interface iauthenticateservice
    {
        bool isauthenticated(loginrequestdto request, out string token);
    }

    接下来，实现接口

public class tokenauthenticationservice : iauthenticateservice
    {
        public bool isauthenticated(loginrequestdto request, out string token)
        {
            throw new notimplementedexception();
        }
    }

    在startup的configureservices方法中注册服务

services.addscoped<iauthenticateservice, tokenauthenticationservice>();

    在controller中注入iauthenticateservice服务，并完善action

public class authenticationcontroller : controllerbase
    {
        private readonly iauthenticateservice _authservice;
        public authenticationcontroller(iauthenticateservice authservice)
        {
            this._authservice = authservice;
        }
        [allowanonymous]
         [httppost, route("requesttoken")]
        public actionresult requesttoken([frombody] loginrequestdto request)
        {
            if (!modelstate.isvalid)
            {
                return badrequest("invalid request");
            }

            string token;
            if (_authservice.isauthenticated(request, out token))
            {
                return ok(token);
            }

            return badrequest("invalid request");

        }
    }

    正常情况，我们都会根据请求的用户和密码去验证用户是否合法，需要连接到数据库获取数据进行校验，我们这里为了方便，假设任何请求的用户都是合法的。

    这里单独加个用户管理的服务，不在iauthenticateservice这个服务里面添加相应逻辑，主要遵循了职责单一原则。首先和上面一样，创建一个服务接口iuserservice

public interface iuserservice
    {
        bool isvalid(loginrequestdto req);
    }

    实现iuserservice接口

public class userservice : iuserservice
    {
        //模拟测试，默认都是人为验证有效
        public bool isvalid(loginrequestdto req)
        {
            return true;
        }
    }

    同样注册到容器中

services.addscoped<iuserservice, userservice>();

    接下来，就要完善tokenauthenticationservice签发token的逻辑，首先要注入iuserservice 和 tokenmanagement，然后实现具体的业务逻辑，这个token的生成还是使用的jwt的类库提供的api，具体不详细描述。

特别注意下tokenmanagement的注入是已ioptions的接口类型注入的，还记得在startpup中吗？我们是通过配置项的方式注册tokenmanagement类型的。

 public class tokenauthenticationservice : iauthenticateservice
    {
        private readonly iuserservice _userservice;
        private readonly tokenmanagement _tokenmanagement;
        public tokenauthenticationservice(iuserservice userservice, ioptions<tokenmanagement> tokenmanagement)
        {
            _userservice = userservice;
            _tokenmanagement = tokenmanagement.value;
        }
        public bool isauthenticated(loginrequestdto request, out string token)
        {
            token = string.empty;
            if (!_userservice.isvalid(request))
                return false;
            var claims = new[]
            {
                new claim(claimtypes.name,request.username)
            };
            var key = new symmetricsecuritykey(encoding.utf8.getbytes(_tokenmanagement.secret));
            var credentials = new signingcredentials(key, securityalgorithms.hmacsha256);
            var jwttoken = new jwtsecuritytoken(_tokenmanagement.issuer, _tokenmanagement.audience, claims, expires: datetime.now.addminutes(_tokenmanagement.accessexpiration), signingcredentials: credentials);

            token = new jwtsecuritytokenhandler().writetoken(jwttoken);

            return true;

        }
    }

  准备好测试试用的api，打上authorize特性，表明需要授权！

[apicontroller]
    [route("[controller]")]
    [authorize]
    public class weatherforecastcontroller : controllerbase
    {
        private static readonly string[] summaries = new[]
        {
            "freezing", "bracing", "chilly", "cool", "mild", "warm", "balmy", "hot", "sweltering", "scorching"
        };

        private readonly ilogger<weatherforecastcontroller> _logger;

        public weatherforecastcontroller(ilogger<weatherforecastcontroller> logger)
        {
            _logger = logger;
        }

        [httpget]
        public ienumerable<weatherforecast> get()
        {
            var rng = new random();
            return enumerable.range(1, 5).select(index => new weatherforecast
            {
                date = datetime.now.adddays(index),
                temperaturec = rng.next(-20, 55),
                summary = summaries[rng.next(summaries.length)]
            })
            .toarray();
        }
    }

    支持我们可以测试验证了，我们可以使用postman来进行http请求，先启动http服务，获取url，先测试一个访问需要授权的接口，但没有携带token信息，返回是401，表示未授权

    下面我们先通过认证接口，获取token，居然报错，查询了下，发现hs256算法的秘钥长度最新为128位，转换成字符至少16字符，之前设置的秘钥是123456，所以导致异常。

system.argumentoutofrangeexception: idx10603: decryption failed. keys tried: 'hs256'. exceptions caught: '128'. token: '48' (parameter 'keysize') at

    更新秘钥

 "tokenmanagement": {
        "secret": "123456123456123456",
        "issuer": "webapi.cn",
        "audience": "webapi",
        "accessexpiration": 30,
        "refreshexpiration": 60
    }

    重新发起请求，成功获取token

eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjodhrwoi8vc2nozw1hcy54bwxzb2fwlm9yzy93cy8ymda1lza1l2lkzw50axr5l2nsywltcy9uyw1lijoiywrtaw4ilcjlehaioje1nzg2nduymdmsimlzcyi6indlymfwas5jbiisimf1zci6ildlykfwasj9.aehd8wtanetklof2ojsvg0u4_o8_sjdxmwujzaiui-o

    把token带到之前请求的api中，重新测试，成功获取数据

总结

    基于token的认证方式，让我们构建分布式/松耦合的系统更加容易。任何地方生成的token，只有拥有相同秘钥，就可以再任何地方进行签名校验。

    当然要用好jwt认证方式，还有其他安全细节需要处理，比如palyload中不能存放敏感信息，使用https的加密传输方式等等，可以根据业务实际需要再进一步安全加固！

   同时我们也发现使用token，就可以摆脱cookie的限制，所以jwt是移动app开发的首选！