使用identity+jwt保护你的webapi(三)——refresh token

前言

上一篇已经介绍了identity的注册,登录,获取jwt token,本篇来完成refresh token。

开始

开始之前先说明一下为什么需要refresh token。

虽然jwt token有很多优点,但是它的缺点也是非常明显。由于jwt无状态的特性,所以jwt一旦颁发,基本上就不可控了,在过期时间内一直有效。有些场景下我们是希望能控制token失效的,比如用户的重要数据被修改时(密码,角色,权限,等等),我们希望用户重新获取token,甚至重新登录。

那么refresh token就可以很好的弥补jwt的缺陷。虽然refresh token也无法直接控制jwt失效,但是在refresh token机制下,我们可以把token的有效期设置的短一些,比如30分钟,而refresh token的有效期可以很长;因为refresh token会持久化到数据库中,它是完全可控的。

很多人纠结的jwt滑动刷新,无感刷新,在refresh token机制下,都不是问题。

生成refresh_token

改造一下上一篇的代码,首先refresh token需要持久化到数据库中,定义实体:

public class RefreshToken
{[Key]public int Id { get; set; }[Required][StringLength(128)]public string JwtId { get; set; }[Required][StringLength(256)]public string Token { get; set; }/// <summary>/// 是否使用,一个RefreshToken只能使用一次/// </summary>[Required]public bool Used { get; set; }/// <summary>/// 是否失效。修改用户重要信息时可将此字段更新为true,使用户重新登录/// </summary>[Required]public bool Invalidated { get; set; }[Required]public DateTime CreationTime { get; set; }[Required]public DateTime ExpiryTime { get; set; }[Required]public int UserId { get; set; }[Required][ForeignKey(nameof(UserId))]public AppUser User { get; set; }
}

加入到DbContext:

public class AppDbContext : IdentityDbContext<AppUser, IdentityRole<int>, int>
{public DbSet<RefreshToken> RefreshTokens { get; set; }public AppDbContext(DbContextOptions<AppDbContext> options): base(options){}// 省略......
}

ef迁移:

dotnet ef migrations add AppDbContext_Added_RefreshTokendotnet ef database update

登录注册返回token时,也要把RefreshToken和ExpiresIn有效时间一起返回:

public class TokenResult
{public bool Success => Errors == null || !Errors.Any();public IEnumerable<string> Errors { get; set; }public string AccessToken { get; set; }public string TokenType { get; set; }public int ExpiresIn { get; set; }   // addpublic string RefreshToken { get; set; }  // add
}
public class TokenResponse
{[JsonPropertyName("access_token")] public string AccessToken { get; set; }[JsonPropertyName("token_type")] public string TokenType { get; set; }[JsonPropertyName("expires_in")]public int ExpiresIn { get; set; }  // add[JsonPropertyName("refresh_token")]public string RefreshToken { get; set; } // add
}

修改UserService创建token方法:

private async Task<TokenResult> GenerateJwtToken(AppUser user)
{var key = Encoding.ASCII.GetBytes(_jwtSettings.SecurityKey);var tokenDescriptor = new SecurityTokenDescriptor{Subject = new ClaimsIdentity(new[]{new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString("N")),new Claim(JwtRegisteredClaimNames.Sub, user.Id.ToString())}),IssuedAt = DateTime.UtcNow,NotBefore = DateTime.UtcNow,Expires = DateTime.UtcNow.Add(_jwtSettings.ExpiresIn),SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key),SecurityAlgorithms.HmacSha256Signature)};var jwtTokenHandler = new JwtSecurityTokenHandler();var securityToken = jwtTokenHandler.CreateToken(tokenDescriptor);var token = jwtTokenHandler.WriteToken(securityToken);var refreshToken = new RefreshToken(){JwtId = securityToken.Id,UserId = user.Id,CreationTime = DateTime.UtcNow,ExpiryTime = DateTime.UtcNow.AddMonths(6),Token = GenerateRandomNumber()};await _appDbContext.RefreshTokens.AddAsync(refreshToken);await _appDbContext.SaveChangesAsync();return new TokenResult(){AccessToken = token,TokenType = "Bearer",RefreshToken = refreshToken.Token,ExpiresIn = (int)_jwtSettings.ExpiresIn.TotalSeconds,};
}
private string GenerateRandomNumber(int len = 32)
{var randomNumber = new byte[len];using var rng = RandomNumberGenerator.Create();rng.GetBytes(randomNumber);return Convert.ToBase64String(randomNumber);
}

登录测试,已经返回了refresh_token:

81eafe8d2e6b35c923143ce080cadcff.png

使用refresh_token获取token 

// RefreshToken 请求参数
public class RefreshTokenRequest
{[JsonPropertyName("access_token")]public string AccessToken { get; set; }[JsonPropertyName("refresh_token")]public string RefreshToken { get; set; }
}
public interface IUserService
{// 省略......Task<TokenResult> RefreshTokenAsync(string token, string refreshToken); // add
}

RefreshTokenAsync实现:

public async Task<TokenResult> RefreshTokenAsync(string token, string refreshToken)
{var claimsPrincipal = GetClaimsPrincipalByToken(token);if (claimsPrincipal == null){// 无效的token...return new TokenResult(){Errors = new[] { "1: Invalid request!" },};}var expiryDateUnix =long.Parse(claimsPrincipal.Claims.Single(x => x.Type == JwtRegisteredClaimNames.Exp).Value);var expiryDateTimeUtc = UnixTimeStampToDateTime(expiryDateUnix);if (expiryDateTimeUtc > DateTime.UtcNow){// token未过期...return new TokenResult(){Errors = new[] { "2: Invalid request!" },};}var jti = claimsPrincipal.Claims.Single(x => x.Type == JwtRegisteredClaimNames.Jti).Value;var storedRefreshToken =await _appDbContext.RefreshTokens.SingleOrDefaultAsync(x => x.Token == refreshToken);if (storedRefreshToken == null){// 无效的refresh_token...return new TokenResult(){Errors = new[] { "3: Invalid request!" },};}if (storedRefreshToken.ExpiryTime < DateTime.UtcNow){// refresh_token已过期...return new TokenResult(){Errors = new[] { "4: Invalid request!" },};}if (storedRefreshToken.Invalidated){// refresh_token已失效...return new TokenResult(){Errors = new[] { "5: Invalid request!" },};}if (storedRefreshToken.Used){// refresh_token已使用...return new TokenResult(){Errors = new[] { "6: Invalid request!" },};}if (storedRefreshToken.JwtId != jti){// refresh_token与此token不匹配...return new TokenResult(){Errors = new[] { "7: Invalid request!" },};}storedRefreshToken.Used = true;//_userDbContext.RefreshTokens.Update(storedRefreshToken);await _appDbContext.SaveChangesAsync();var dbUser = await _userManager.FindByIdAsync(storedRefreshToken.UserId.ToString());return await GenerateJwtToken(dbUser);
}

解析token,注意这里的tokenValidationParameters,这个参数和Startup中设置的tokenValidationParameters唯一的区别是ValidateLifetime = false,不验证过期时间。

private ClaimsPrincipal GetClaimsPrincipalByToken(string token)
{try{var tokenValidationParameters = new TokenValidationParameters{ValidateIssuer = false,ValidateAudience = false,ValidateIssuerSigningKey = true,IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(_jwtSettings.SecurityKey)),ClockSkew = TimeSpan.Zero,ValidateLifetime = false // 不验证过期时间!!!};var jwtTokenHandler = new JwtSecurityTokenHandler();var claimsPrincipal =jwtTokenHandler.ValidateToken(token, tokenValidationParameters, out var validatedToken);var validatedSecurityAlgorithm = validatedToken is JwtSecurityToken jwtSecurityToken&& jwtSecurityToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256,StringComparison.InvariantCultureIgnoreCase);return validatedSecurityAlgorithm ? claimsPrincipal : null;}catch{return null;}
}

最后是UserController:

[HttpPost("RefreshToken")]
public async Task<IActionResult> RefreshToken(RefreshTokenRequest request)
{var result = await _userService.RefreshTokenAsync(request.AccessToken, request.RefreshToken);if (!result.Success){return Unauthorized(new FailedResponse(){Errors = result.Errors});}return Ok(new TokenResponse{AccessToken = result.AccessToken,TokenType = result.TokenType,ExpiresIn = result.ExpiresIn,RefreshToken = result.RefreshToken});
}

测试token未过期时刷新token:

8a63511b99496dce059b6d9f1bb25f19.png

正常刷新token:

0ac1706131f8c8b2691dfc8804fe4165.png

refresh_token使用一次后,不可以再次使用:

f672a5f21fd2581ce2c8d1b6a03f3213.png

其他情况可以自行测试。。。

最后

总结一下,上面的代码看似很多,其实完成的功能非常简单;就是在用户获取token时,后台生成一个与之对应的refresh token一并返回,同时将refresh token保存到数据库中;refresh token的存在就是为了当token过期时,能免登录刷新一次token。(refresh token只能使用一次,用户重要数据比如密码修改时,可以将refresh token置为失效,使用户重新登录)。代码已上传至 [blogs/asp.net core identity + jwt/code at main · xiajingren/blogs (github.com)](https://github.com/xiajingren/blogs/tree/main/asp.net core identity %2B jwt/code "blogs/asp.net core identity + jwt/code at main · xiajingren/blogs (github.com)")

参考:

ASP.NET Core 简介 Identity | Microsoft Docs[1]

Mohamad Lawand - DEV Community[2]

参考资料

[1]

ASP.NET Core 简介 Identity | Microsoft Docs: https://docs.microsoft.com/zh-cn/aspnet/core/security/authentication/identity?view=aspnetcore-5.0&tabs=visual-studio

[2]

Mohamad Lawand - DEV Community: https://dev.to/moe23/comments

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/297181.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

窗体的关闭事件

窗体的关闭事件

对于关注对 Windows 窗体应用程序中引发的每个事件按次序进行处理的开发人员来说&#xff0c;事件引发的顺序特别重要。 当 Windows 窗体应用程序启动时&#xff0c;主窗体的启动事件按以下顺序引发 1、System.Windows.Forms.Control.HandleCreated    在为控件创建句柄时发生…
阅读更多...
python多线程 不在main_从python线程(不是main)启动pyQt线程有什么不...

python多线程 不在main_从python线程(不是main)启动pyQt线程有什么不...

我有一个想要向其添加基本状态窗口的python控制台脚本,因此在不了解pyqt的情况下,我添加了一个窗口.如果我从主线程启动pyqt,它将阻塞其他所有内容,因此我从另一个线程启动了它.这样的运行情况已经好几个月了,但我只是注意到了一个警告(不确定我以前怎么错过它)&#xff1a;警告…
阅读更多...
java设置窗口不可移动_Java – JDialog不可移动

java设置窗口不可移动_Java – JDialog不可移动

什么代码有助于使JDialog无法移动&#xff1f;我看了两个选项&#xff1a;> setUndecorated(true);哪个有效,但删除了所有的装饰.> addComponentListener并覆盖componentMoved()方法,这会导致JDialog随后在移动时调用induEpilepticSeizure().有任何想法吗&#xff1f;解决…
阅读更多...
一个10*10的正方形里,最多可以放多少个直径为1的圆?为啥不是100个?

一个10*10的正方形里,最多可以放多少个直径为1的圆?为啥不是100个?

祝大家元宵节快乐知识君曾经给大家出了一道题。↓Q&#xff1a;在一个10*10的正方形里&#xff0c;最多可以放多少个直径为1的圆&#xff1f;为啥不是100个&#xff1f;关于这道题&#xff0c;后台就收到了许多留言&#xff0c;大家纷纷给出了不同的答案。五花八门的答案&#…
阅读更多...
.NET 时间格式 ----------摘自MSDN

.NET 时间格式 ----------摘自MSDN

使用在 DateTimeFormatInfo 的属性中存储的标准或自定义模式设置 DateTime 值的格式。 可以通过设置可写 DateTimeFormatInfo 的关联属性用自定义模式替代标准模式。若要确定 DateTimeFormatInfo 是否是可写的&#xff0c;请使用 IsReadOnly 属性。 下表列出了每一种标准模式的…
阅读更多...
小甲鱼零基础入门python二十一课课后题_小甲鱼Python第二十一讲课后习题

小甲鱼零基础入门python二十一课课后题_小甲鱼Python第二十一讲课后习题

测试题&#xff1a;0. 递归在编程上的形式是如何表现的呢&#xff1f;在编程上&#xff0c;递归表现为函数调用本身这么一个行为。1. 递归必须满足哪两个基本条件&#xff1f;一、 函数调用自身二、 设置了正确的返回条件2. 思考一下&#xff0c;按照递归的特…
阅读更多...
MVC捕获数据保存时的具体字段验证错误代码

MVC捕获数据保存时的具体字段验证错误代码

捕获验证错误代码 //try //{ // // 调试写数据库 //} //catch (DbEntityValidationException dbEx) //{ //}转载于:https://www.cnblogs.com/caojinqin/p/4561000.html
阅读更多...
windows常用网络命令

windows常用网络命令

1. ipconfig命令 ipconfig命令用于显示本机当前的TCP/IP配置的设置值&#xff0c;包括本机当前的IP地址、子网掩码、默认网关以及DNS服务器。可以用来检验TCP/IP配置是否正确。对于使用了动态主机配置协议&#xff08;DHCP&#xff09;的局域网&#xff0c;这个命令的作用就更加…
阅读更多...
java中有stdin_在java中听stdin的后台进程

java中有stdin_在java中听stdin的后台进程

我必须创建一个java程序,当用户输入0时它应该退出.用java代码编写没问题.int cmd read();System.out.println("got command : " cmd);if (cmd 48) { // ASCII code for 0System.exit(0);我想在linux中使用start-stop脚本运行这个过程.我也可以使用&或者没有ca…
阅读更多...
【开源框架】:解决方案级别的代码生成器 WebFirst

【开源框架】:解决方案级别的代码生成器 WebFirst

框架描述WebFirst 是一新代的 代码生成器&#xff0c;用法简单&#xff0c;功能强大&#xff0c;支持多种数据库 &#xff0c;具体功能如下&#xff1a;一、 建库、CodeFirst方式在线建表&#xff0c;没用到CodeFirst的用户可以用工具轻松体验&#xff0c;支持公共字段二、导出…
阅读更多...
“智商平平”学软件

“智商平平”学软件

“智商平平”学软件 金旭亮 前几天收到了一个在职普通程序员的邮件&#xff0c;在邮件中他说两次报考我们学校计算机专业研究生&#xff0c;但总是惨败而回&#xff0c;第1年总分考了250&#xff0c;砸在政治和数学上&#xff0c;努力复习了一年&#xff0c;又是砸在数学上&…
阅读更多...
在netbeans下使用调试PHP的插件XdeBug

在netbeans下使用调试PHP的插件XdeBug

本人的开发环境: wamp最新官网wampserver2.2d-x32版。 下载点&#xff1a;http://nchc.dl.sourceforge.net/project/wampserver/WampServer%202/WampServer%202.2/wampserver2.2d-x32.exe PHP&#xff1a;5.3.10 apache &#xff1a;2.2.21 要使用到NetBeans的调试功能&#xf…
阅读更多...
老娘不就是没化妆吗?你几个意思?

老娘不就是没化妆吗?你几个意思?

1 可能是环境的原因唤醒了雪橇犬的祖传技能▼2 这是花仙子吧&#xff01;怎么能生的出这么好看的崽▼3 你什么表情&#xff1f;老娘不就是没化妆吗▼4 我们是专业的&#xff0c;一般不会笑除非忍不住▼5 你知道小兔子会游泳吗▼6 狗子的快乐你体会不了▼7 谁能告诉我这到…
阅读更多...
790页微软官方《.Net核心编程》高清版PDF,提供下载

790页微软官方《.Net核心编程》高清版PDF,提供下载

本文档由微软技术专家编写&#xff0c;从1.1版本持续维护升级至今&#xff0c;开篇就详细对比了各版本中的差异&#xff0c;内容包含了ASP.NET Core、Blazor、WebAPI、SignalR、gRPC、EF Core、云原生&#xff0c;既是最权威的&#xff0c;也是最全面的&#xff0c;是学习跨平台…
阅读更多...
java更新数据库错误就回滚_Java 中对数据库操作时的 回滚

java更新数据库错误就回滚_Java 中对数据库操作时的 回滚

Connection connnull;conn.rollback()就可以回滚//用jdbc连接数据库//举例子&#xff0c;比如你在写一个级联删除的方法的时候&#xff0c;为了保证数据完整性&#xff0c;删除的时候一定要确定该删的都删了才行&#xff0c;否则就要回滚&#xff0c;下面是删除方法的例子&…
阅读更多...
IIS 权限错误(401.1 401.2 401.3)解决办法

IIS 权限错误(401.1 401.2 401.3)解决办法

1、错误号401.1 症状&#xff1a;HTTP 错误 401.1 - 未经授权&#xff1a;访问由于凭据无效被拒绝。 分析&#xff1a; 由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用&#xff0c;或者没有权限访问计算机&#xff0c;将造成用户无法访问。 解决方案&#xff1a; &a…
阅读更多...
基本配置1-被忽悠进了CentOS 6

基本配置1-被忽悠进了CentOS 6

原来的ubuntu因为一块硬盘坏了而整个无法正常使用&#xff0c;只好重装。但同事介绍使用Redhat&#xff0c;说单位的linux服务器多为redhat&#xff0c;也没多想&#xff0c;就上了&#xff0c;用了之后才发现&#xff0c;有不少习惯需要改变。有几个配置琢磨了才整出来&#x…
阅读更多...
真烧脑!60种小学奥数分类题型大汇编!做了几道题,感觉身体被掏空……

真烧脑!60种小学奥数分类题型大汇编!做了几道题,感觉身体被掏空……

全世界只有3.14 % 的人关注了爆炸吧知识很多的家长都在问&#xff1a;小学奥数怎么学&#xff1f;有哪些重点&#xff1f;需要大量练习吗&#xff1f;其实&#xff0c;数学的题型万变不离其宗&#xff0c;了解题型&#xff0c;领悟题目的思路方法&#xff0c;一定胜过盲目狂练5…
阅读更多...
保护我方Id | ASP.NET Core Web API使用加密Id

保护我方Id | ASP.NET Core Web API使用加密Id

前言上次&#xff0c;我们介绍了hashids.net&#xff0c;可以将数值型Id加密成无意义的字符串&#xff0c;但是通过这些字符串又可以反向映射出真实的Id以供内部使用。比如B站的播放链接https://www.bilibili.com/video/BV1xK4y1VXXX应该就是这种实现方式。但是&#xff0c;我们…
阅读更多...
用java写注册表单_利用HTML表单标签编写一个注册页面

用java写注册表单_利用HTML表单标签编写一个注册页面

今天我们来写一个注册页面form表单先来利用表单标签制作一个简单的注册页面,给大家说说标签的结构:页面结构大体就是这样子的~利用HTML表单标签编写一个注册页面表单标签:所有需要提交到服务器端的表单项必须使用包起来~form标签的属性:action:整个表单提交的位置(可以是一个页…
阅读更多...
最新文章

Copyright @ 2022~2023