Aspnet Mvc 前后端分离项目手记关于token认证

Posted wahson2019

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Aspnet Mvc 前后端分离项目手记关于token认证相关的知识,希望对你有一定的参考价值。

在前后端分离的项目中,首先我们要解决的问题就是身份认证

以往的时候,我们使用cookie+session,或者只用cookie来保持会话。

 

一,先来复习一下cookie和session

首先我们来复习一下在aspnet中cookie和session的关系,做一个简单试验

这是一个普通的view没有任何处理

 技术图片

技术图片

可以看到,没有任何东西(cookie),然后当我们写入一个session之后

 

技术图片

技术图片

会发现多了一个名为ASP.NET_SessionId的cookie。我们都知道在aspnet中,session是保存在服务器端的内存中的,而http协议是无状态的,那么他是怎么确定不同请求的session

没错,session是借助cookie来实现的:cookie中保存着 session的key,当我们清除掉浏览器缓存时,会发现session也找不到了,就是这个原因。

使用session来保持会话有几个很严重的缺点:1 session容易丢失;2无法支持分布式;3,cookie 对跨域的支持不好

 

所以就用到了我们今天说的token

二,token 

1,token的产生

一般是用户登录成功,服务器端产生一个token并返给前端,前端将token保存在cookie或者localStorage里面,然后每次请求时都带上这个token,一般都带在请求头里面

 2,token的内容

一般的token里面必须有的是:1,会话用户的标识:比如userid。2,token的过期时间,如果想更完整一点,可以加上token的颁发者,签名等等

3,token的生成算法,一般是由服务器端将token的主要内容,过期时间等等做非对称加密,然后进行签名算法(防止客户端更改),具体看后面jwt

 

4,token校验

当服务器端收到请求时,首先会校验token,校验有两种不同的方式

 一, token产生后保存在服务器端(redis或者其他比较速度快的缓存中) 。优点:可控性强,可以用这个来做单点登录,比如另一个地方登录,就remove掉之前的token。缺点:实现麻烦一点,而且要占服务器压力

二, token产生后服务器端不保存,只负责校验。 优点:大大降低了服务器的压力,实现起来,也要相对简单一点。缺点:token一旦颁发,服务器端就不可控了,只能等它过期。

    具体用哪种看具体的需求。如果不是做可控性要求很强,个人建议第二种。

 

5 jwt 

jwt 全名Json Web Tokens,算是一种token的规范吧

园子里面有很不不错的介绍 ,比如这篇:阮一峰 jwt介绍   http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

 

组成有三部分

  • Header(头部,一般包含了token的签名方式)
  • Payload(负载,也就是具体的有效部分)
  • Signature(签名,将前两部分进行签名算法,防止客户端篡改)

实现方式,将header部分和payload部分分别进行base64算法,然后用点号“.”隔开拼接,然后进行签名算法,然后在将三部分拼接(点号隔开)就得到了jwt

注意 ,jwt默认是采用base64编码的,也就是说 客户端也能解码得出具体内容的,所以除非特殊情况,重要敏感字段一定不能放在token中

 

 以下是具体实现

  1 using System;
  2 using System.Collections.Generic;
  3 using System.Linq;
  4 using System.Security.Cryptography;
  5 using System.Text;
  6 using System.Web;
  7  
  8 namespace Rk.JWT
  9 {
 10   
 11     public class Jwt
 12     {
 13  
 14         //参考自 阮一峰 jwt介绍  http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
 15   
 16  
 17  
 18         public static string SALT = "OXpcRP8jmCfMKumY";
 19       
 20           
 21  
 22         /// <summary>
 23         ///
 24         /// </summary>
 25         /// <param name="ExraPayload">额外的信息</param>
 26         /// <returns></returns>
 27         public static string Create(Dictionary<string,object> ExraPayload)
 28         {
 29             var Header = new Dictionary<string, string>();
 30             Header.Add("tp", "MD5");
 31             var Payload = new Dictionary<string, object>();
 32  
 33             //JWT 规定了7个官方字段,供选用。
 34             Payload.Add("iss", "signBy"); //颁发人
 35             Payload.Add("jti", Guid.NewGuid().ToString()); //jwt的id
 36             Payload.Add("exp",System.DateTime.Now.AddMinutes(20));//过期时间
 37             Payload.Add("nbf", System.DateTime.Now);//生效时间
 38             Payload.Add("iat", System.DateTime.Now);//签发时间
 39             Payload.Add("sub", "subject");//主题
 40             Payload.Add("aud", "audience");//受众
 41  
 42             foreach (var item in ExraPayload)
 43             {
 44                 if (Payload.ContainsKey(item.Key))
 45                 {
 46  
 47                     throw new Exception($"{item.Key}键值已被占用 不能使用 ");
 48                 }
 49                 else
 50                 {
 51                     Payload.Add(item.Key, item.Value);
 52                 }
 53             }
 54             string base64Header = Base64Url(Newtonsoft.Json.JsonConvert.SerializeObject(Header));
 55             string base64Payload = Base64Url(Newtonsoft.Json.JsonConvert.SerializeObject(Payload));
 56             string tmp = base64Header + "." + base64Payload;
 57   
 58             string sign = Md5(tmp+ SALT);//加盐,重要
 59  
 60             return base64Header+"."+ base64Payload+"."+ sign;
 61         }
 62  
 63  
 64         //校验是否合法,是否过期
 65         public static bool Check(string token)
 66         {
 67             string base64Header = token.Split(.)[0];
 68             string base64Payload = token.Split(.)[1];
 69             string sign = token.Split(.)[2];
 70             string tmp = base64Header + "." + base64Payload;
 71             var signCheck = Md5(base64Header + "." + base64Payload + SALT);
 72             if(signCheck!= sign)
 73             {
 74                 return false;
 75             }
 76             var dic = Newtonsoft.Json.JsonConvert.DeserializeObject<Dictionary<string, object>>(Base64UrlDecode(base64Payload));
 77             if(  Convert.ToDateTime(dic["exp"])<System.DateTime.Now)
 78             {
 79                 //过期了
 80                 return false;
 81  
 82             }
 83             return true;
 84  
 85         }
 86         //校验是否合法,是否过期
 87         public static Dictionary<string,object> GetPayLoad(string token)
 88         {
 89      
 90             string base64Payload = token.Split(.)[1];
 91           
 92             var dic = Newtonsoft.Json.JsonConvert.DeserializeObject<Dictionary<string, object>>(Base64UrlDecode(base64Payload));
 93             
 94             return dic;
 95  
 96         }
 97  
 98  
 99         public static string Base64Url(string input)
100         {
101             //JWT 作为一个令牌(token),有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。
102             //Base64 有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。
103             string output = "";
104                 byte[] bytes = Encoding.UTF8.GetBytes(input);
105             try
106             {
107                 output = Convert.ToBase64String(bytes).Replace(+, -).Replace(/, _).TrimEnd(=) ;
108               
109  
110             }
111             catch (Exception e)
112             {
113                 throw e;
114             }
115             return output;
116         }
117         public static string Base64UrlDecode(string input)
118         {
119             string output = "";
120           
121             input = input.Replace(-, +).Replace(_, /);
122             switch (input.Length % 4)
123             {
124                 case 2:
125                     input += "==";
126                     break;
127                 case 3:
128                     input += "=";
129                     break;
130             }
131             byte[] bytes = Convert.FromBase64String(input);
132             try
133             {
134                 output = Encoding.UTF8.GetString(bytes);
135             }
136             catch
137             {
138                 output = input;
139             }
140             return output;
141         }
142         public static string Md5(string input,int bit=16)
143         {
144              
145             MD5CryptoServiceProvider md5Hasher = new MD5CryptoServiceProvider();
146             byte[] hashedDataBytes;
147             hashedDataBytes = md5Hasher.ComputeHash(Encoding.GetEncoding("gb2312").GetBytes(input));
148             StringBuilder tmp = new StringBuilder();
149             foreach (byte i in hashedDataBytes)
150             {
151                 tmp.Append(i.ToString("x2"));
152             }
153             if (bit == 16)
154                 return tmp.ToString().Substring(8, 16);
155             else
156             if (bit == 32) return tmp.ToString();//默认情况
157             else return string.Empty;
158             
159         }
160     }
161      
162 }

 

使用方式

 1 public class HomeController : BaseController
 2    {
 3  
 4  
 5        public ActionResult Login(string username, string pwd)
 6        {
 7  
 8            /// 1, todo 验证用户名密码正确
 9  
10  
11            //2,//在token中加入用户id,创建token
12            var dic = new Dictionary<string, object>();
13            dic.Add("userid", "20125521225858");
14            string token = JWT.Jwt.Create(dic);
15  
16  
17            //验证token是否正确是否过期
18            var isChecked = JWT.Jwt.Check(token);
19  
20            return Content("");
21  
22        }
23    }

下一篇我们将会聊一聊 rest 风格url在前后端分离项目中的使用

以上是关于Aspnet Mvc 前后端分离项目手记关于token认证的主要内容,如果未能解决你的问题,请参考以下文章

关于前端,后端,MVC,前后端分离,前后端同构

B站云E办Vue+SpringBoot前后端分离项目——MVC三层架构搭建后台项目

关于前后端分离

什么是前后端,有没有前后端分离,还有如何区分mvc与前后端分离

nodejs-koa2(mvc模式)前后端分离 前端设计

三层架构MVC前后分离的一些知识