个人中心
文章发布
退出
作者热门文章
- Java锁的逻辑(结合对象头和ObjectMonitor)
- 还在用饼状图?来瞧瞧这些炫酷的百分比可视化新图形(附代码实现)⛵
- 自动注册实体类到EntityFrameworkCore上下文,并适配ABP及ABPVNext
- 基于Sklearn机器学习代码实战
25
4
笔者之前开发过一套C/S架构的桌面应用,采用了JWT作为用户的登录认证和授权。遇到的唯一问题就是JWT过期了该怎么办?设想当一个用户正在进行业务操作,突然因为Token过期失效,莫名其妙地跳转到登录界面,是不是一件很无语的事。当然笔者也曾想过:为何不把JWT的有效期尽量设长些(假设24小时),用户每天总要下班退出系统吧,呵呵!这显然有点投机取巧,也违背了JWT的安全设计,看来等另想他法.
后来笔者的做法是:当客户端每次发起Http请求时,先判断本地Token是否存在: 1. 如果不存在,则先向服务端发起登录验证请求,从而获取Token。2. 如果已存在,则检测Token是否即将过期。如果是的话,就重新发起登录验证更新Token,否则继续使用当前Token。其中判断Token是否即将过期没有一个标准设定,个人认为在1~5分钟之间比较合适。 以上就是实现Token自动续期的整个过程.
JWT(JSON Web Token) 是一个开发标准 (RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。JWT是由头部 (Header)、载荷 (Payload) 和签名 (Signature) 三部分组成,它们之间用圆点(.)连接。JWT最常见的应用场景是授权(Authorization)和信息交换(Information Exchange).
Refit 是一个受到Square的Retrofit库(Java)启发的自动类型安全REST库。我们的应用程序通过Refit请求网络,实际上是使用Refit接口层封装请求参数、Header、Url等信息,之后由HttpClient完成后续的请求操作,在服务端返回数据之后,HttpClient将原始的结果交给Refit,后者根据用户的需求对结果进行解析的过程.
我们需要先创建一个客户端和一个服务端。为了演示方便,客户端仍用WinForm,服务器使用ASP.NET Core Web API。如图所示:
JwtToken.Shared 公共类库:定义了一些POCO对象,供客户端/服务端共享使用。其中 TokenResult 定义如下:
1
public
record TokenResult
2
{
3
///
<summary>
4
///
访问令牌
5
///
</summary>
6
public
string
AccessToken {
get
; init; }
7
8
///
<summary>
9
///
过期时间
10
///
</summary>
11
public
DateTime ExpiredTime {
get
; init; }
12
}
JwtToken.Server 提供两个后台服务:一个是登录验证服务,为客户端颁发用户凭证(JWT),另一个是获取系统时间服务.
在 Program 启动类,我们需要添加和使用指定服务,从而开启JWT认证和授权。 代码如下:
1
public
class
Program
2
{
3
public
static
void
Main(
string
[] args)
4
{
5
var
builder =
WebApplication.CreateBuilder(args);
6
builder.Services.AddControllers();
7
builder.Services.AddAuthentication(options =>
8
{
9
options.DefaultAuthenticateScheme =
JwtBearerDefaults.AuthenticationScheme;
10
options.DefaultChallengeScheme =
JwtBearerDefaults.AuthenticationScheme;
11
})
12
.AddJwtBearer(o =>
13
{
14
o.TokenValidationParameters =
new
TokenValidationParameters
15
{
16
NameClaimType =
"
Name
"
,
17
RoleClaimType =
"
Role
"
,
18
ValidateAudience =
false
,
19
ValidateIssuer =
false
,
20
ValidateLifetime =
true
,
21
ClockSkew = TimeSpan.FromSeconds(
30
),
22
IssuerSigningKey =
new
SymmetricSecurityKey(Encoding.UTF8.GetBytes(JwtConsts.SigningKey))
23
};
24
});
25
builder.Services.AddAuthorization();
26
27
var
app =
builder.Build();
28
app.UseAuthentication();
29
app.UseAuthorization();
30
app.MapControllers();
31
app.Run();
32
}
33
}
DemoController 控制器:提供 LoginAsync() 和 GetCurrentTimeAsync() 两个方法,代码如下:
1
[ApiController]
2
[Route(
"
[controller]
"
)]
3
public
class
DemoController : ControllerBase
4
{
5
///
<summary>
6
///
登录
7
///
</summary>
8
///
<param name="dto"></param>
9
///
<returns></returns>
10
[HttpPost(
"
Login
"
)]
11
public
async
ValueTask<TokenResult>
LoginAsync(LoginDto dto)
12
{
13
var
user =
GetUserInfo(dto.UserName);
14
if
(user.Password == dto.Password)
//
登录密码验证
15
{
16
TokenResult tokenResult =
await
JwtHelper.GenerateAsync(user.Id, user.UserName, user.Name, user.PhoneNumber);
17
return
tokenResult;
18
}
19
return
null
;
20
}
21
22
///
<summary>
23
///
获取当前时间
24
///
</summary>
25
///
<returns></returns>
26
[Authorize]
27
[HttpGet(
"
CurrentTime
"
)]
28
public
ValueTask<DateTimeOffset>
GetCurrentTimeAsync()
29
{
30
return
ValueTask.FromResult(DateTimeOffset.Now);
31
}
32
}
第26行代码:给 GetCurrentTimeAsync() 加上 [Authorize] 特性后, 当前服务必须授权后才能访问.
第16行代码:根据用户的Id、用户名、姓名等信息来生成 TokenResult ,它包含JWT令牌和过期时间。下面是JWT的生成代码:
1
public
static
class
JwtHelper
2
{
3
///
<summary>
4
///
生成Token
5
///
</summary>
6
///
<returns></returns>
7
public
static
ValueTask<TokenResult> GenerateAsync(
int
id,
string
username,
string
name,
string
phoneNumber)
8
{
9
var
claims =
new
List<Claim>
()
10
{
11
new
Claim(
"
UserId
"
, id.ToString()),
//
用户Id
12
new
Claim(
"
UserName
"
, username),
//
用户名
13
new
Claim(
"
Name
"
, name) ,
//
姓名
14
new
Claim(
"
PhoneNumber
"
, phoneNumber)
//
手机号码
15
};
16
17
var
tokenHandler =
new
JwtSecurityTokenHandler();
18
var
expiresAt = DateTime.Now.AddMinutes(
20
);
//
过期时间
19
var
tokenDescriptor =
new
SecurityTokenDescriptor
20
{
21
Subject =
new
ClaimsIdentity(claims),
22
Expires =
expiresAt,
23
SigningCredentials =
new
SigningCredentials(
new
SymmetricSecurityKey(Encoding.ASCII.GetBytes(JwtConsts.SigningKey)),
24
SecurityAlgorithms.HmacSha256Signature)
25
};
26
27
var
token =
tokenHandler.CreateToken(tokenDescriptor);
28
var
tokenString =
tokenHandler.WriteToken(token);
29
30
return
ValueTask.FromResult(
new
TokenResult
31
{
32
AccessToken =
tokenString,
33
ExpiredTime =
expiresAt
34
});
35
}
36
}
第18行代码:设置Token的过期时间,这里我们把有效期设为20分钟.
JwtToken.Client 定义后台服务调用接口和实现Token自动续期。 IDemoApi 接口定义如下:
1
[Headers(
new
[] {
"
Authorization:Bearer
"
})]
2
public
interface
IDemoApi
3
{
4
///
<summary>
5
///
获取当前时间
6
///
</summary>
7
///
<returns></returns>
8
[Get(
"
/Demo/CurrentTime
"
)]
9
Task<DateTimeOffset>
GetCurrentTimeAsync();
10
}
第1行代码:给 IDemApi 接口加上 [Headers(...)] 特性,这样每次调用 GetCurrentTimeAsync() 方法,Http请求头部都会加上此信息。JWT的标准授权头部格式为: Authorization: Bearer <token> .
接下来,就是实现Token自动续期功能。笔者封装了一个 RestHelper 类,核心代码如下:
1
///
<summary>
2
///
Rest请求服务
3
///
</summary>
4
///
<typeparam name="T"></typeparam>
5
///
<returns></returns>
6
public
static
T For<T>
()
7
{
8
var
settings =
new
RefitSettings()
9
{
10
AuthorizationHeaderValueGetter = () =>
GetTokenAsync(),
11
};
12
13
return
RestService.For<T>
(BaseUrl, settings);
14
}
15
16
///
<summary>
17
///
获取Token
18
///
</summary>
19
///
<returns></returns>
20
private
static
async
Task<
string
>
GetTokenAsync()
21
{
22
if
(TokenResult
is
null
|| DateTimeOffset.Now.AddMinutes(
1
) >= TokenResult?
.ExpiredTime)
23
{
24
var
uri =
new
Uri($
"
{BaseUrl}/demo/login
"
, UriKind.Absolute);
25
26
var
dto =
new
LoginDto { UserName =
"
fjq
"
, Password =
"
123456
"
};
27
28
using
var
httpResMsg =
await
new
HttpClient().PostAsync(uri, JsonContent.Create(dto));
29
30
if
(httpResMsg.IsSuccessStatusCode)
31
{
32
var
jsonStr =
await
httpResMsg.Content.ReadAsStringAsync();
33
34
TokenResult = JsonHelper.FromJson<TokenResult>
(jsonStr);
35
}
36
}
37
38
return
TokenResult?
.AccessToken;
39
}
第10行代码: AuthorizationHeaderValueGetter 是 RefitSettings 对象的一个委托属性,用来提供授权头部信息,即JWT字符串.
第22至35行代码:即按照笔者前面的思路转换成代码实现,这里就不再详细说明了.
最后,我们用一行代码来获取后台系统时间:
1
var
dt =
await
RestHelper.For<IDemoApi>().GetCurrentTimeAsync();
界面运行效果如下(~ 亲测有效~ ):
认识JWT - 废物大师兄 - 博客园 (cnblogs.com) 。
Refit | The automatic type-safe REST library for Xamarin and .NET (reactiveui.github.io) 。
最后此篇关于C#利用Refit实现JWT自动续期的文章就讲到这里了,如果你想了解更多关于C#利用Refit实现JWT自动续期的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
25
4
0
我是一名优秀的程序员,十分优秀!