系列導航及源代碼
- 使用.NET 6開發TodoList應用文章索引
需求
在上一篇文章使用.NET 6開發TodoList應用(24)——實作基于JWT的Identity功能中,我們演示了如何使用.NET框架的Identity組件實作基于JWT Token的認證和授權功能,我們可以想象一下場景:當獲取到的Token過期以后,我們必須要重新請求認證介面以獲取新的Token,在實際的應用中,表現出來就是雖然當前用戶一直在進行業務的操作,但是到了一個固定的時間點后,就會要求用戶重新登陸一次來獲取新Token,這對用戶的體驗是非常不友好的,所以我們引出了本文將要介紹的Refresh Token的概念,
那么我們為什么一定需要一個Refresh Token而不是將Token的過期時間設定的長一點呢?最主要的原因是如果這個長期的Token一旦被暴露,那么即使我們修改登錄密碼,也無法阻止已經被暴露的Token被用來訪問我們受保護的API資源,只能等到這個Token自己過期,所以我們希望設定一個短時間有效的Token,當客戶端Token失效后,服務端將會回傳一個Token過期的回應,那么此時客戶端就可以攜帶這個已過期的Token和服務器之前簽發的一次性的Refresh Token去服務端換取一個新的Token和一個新的一次性Refresh Token,客戶端就可以在不需要重新登陸的情況下攜帶這個新的Token去訪問后端資源,同時也將Token暴露的影響降低了,
目標
為TodoList實作Refresh Token功能,
原理與思路
為了實作Refresh Token功能,我們需要做這幾件事:
- 在用戶請求Token時同時創建一個Refresh Token回傳給客戶端;
- 修改認證服務,使其能夠從已過期的Token中獲取用戶的Principal資料;
- 創建一個refresh token的API介面用于回應客戶端的獲取新Token的邏輯,
實作
使ApplicationUser支持RefreshToken
ApplicationUser.cs
using Microsoft.AspNetCore.Identity;
namespace TodoList.Infrastructure.Identity;
public class ApplicationUser : IdentityUser
{
public string? RefreshToken { get; set; }
public DateTime RefreshTokenExpiryTime { get; set; }
}
運行Migration使修改生效,
修改CreateToken簽名使其同時回傳Refresh Token
新建創建Token回傳的回應體物件ApplicationToken:
ApplicationToken.cs
namespace TodoList.Application.Common.Models;
public record ApplicationToken(string AccessToken, string RefreshToken);
修改介面定義
Task<ApplicationToken> CreateTokenAsync(bool populateExpiry);
并對應修改實作:
IdentityService.cs
public async Task<ApplicationToken> CreateTokenAsync(bool populateExpiry)
{
var signingCredentials = GetSigningCredentials();
var claims = await GetClaims();
var tokenOptions = GenerateTokenOptions(signingCredentials, claims);
var refreshToken = GenerateRefreshToken();
User!.RefreshToken = refreshToken;
if(populateExpiry)
User!.RefreshTokenExpiryTime = DateTime.Now.AddDays(7);
await _userManager.UpdateAsync(User);
var accessToken = new JwtSecurityTokenHandler().WriteToken(tokenOptions);
return new ApplicationToken(accessToken, refreshToken);
}
private string GenerateRefreshToken()
{
// 創建一個隨機的Token用做Refresh Token
var randomNumber = new byte[32];
using var rng = RandomNumberGenerator.Create();
rng.GetBytes(randomNumber);
return Convert.ToBase64String(randomNumber);
}
修改login方法
AuthenticationController.cs
[HttpPost("login")]
public async Task<IActionResult> Authenticate([FromBody] UserForAuthentication userForAuthentication)
{
if (!await _identityService.ValidateUserAsync(userForAuthentication))
{
return Unauthorized();
}
var token = await _identityService.CreateTokenAsync(true);
return Ok(token);
}
到目前為止,我們已經為應用程式添加了Refresh Token所需要的一些基礎功能了,接下來就需要實作一個refresh token介面用于換取新的Token
實作refresh token介面
我們新建一個Action用于refresh token介面,
AuthenticationController.cs
[HttpPost("refresh")]
public async Task<IActionResult> Refresh([FromBody] ApplicationToken token)
{
var tokenToReturn = await _identityService.RefreshTokenAsync(token);
return Ok(tokenToReturn);
}
實作refresh token功能
我們在認證服務中添加Controller中呼叫的方法
IIdentityService.cs
Task<ApplicationToken> RefreshTokenAsync(ApplicationToken token);
并實作介面方法:
IdentityService.cs
// 省略其他...
public async Task<ApplicationToken> RefreshTokenAsync(ApplicationToken token)
{
var principal = GetPrincipalFromExpiredToken(token.AccessToken);
var user = await _userManager.FindByNameAsync(principal.Identity?.Name);
if (user == null || user.RefreshToken != token.RefreshToken || user.RefreshTokenExpiryTime <= DateTime.Now)
{
throw new BadHttpRequestException("provided token has some invalid value");
}
User = user;
return await CreateTokenAsync(true);
}
private ClaimsPrincipal GetPrincipalFromExpiredToken(string token)
{
// 根據已過期的Token獲取用戶相關的Principal資料,用來生成新的Token
var jwtSettings = _configuration.GetSection("JwtSettings");
var tokenValidationParameters = new TokenValidationParameters {
ValidateAudience = true,
ValidateIssuer = true,
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Environment.GetEnvironmentVariable("SECRET") ?? "TodoListApiSecretKey")), ValidateLifetime = true,
ValidIssuer = jwtSettings["validIssuer"],
ValidAudience = jwtSettings["validAudience"]
};
var tokenHandler = new JwtSecurityTokenHandler();
var principal = tokenHandler.ValidateToken(token, tokenValidationParameters, out var securityToken);
if (securityToken is not JwtSecurityToken jwtSecurityToken ||
!jwtSecurityToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256, StringComparison.InvariantCultureIgnoreCase))
{
throw new SecurityTokenException("Invalid token");
}
return principal;
}
接下來我們就可以驗證refresh token的功能了,
驗證
啟動Api專案,首先我們獲取Token:
可以看到同時回傳了refresh token,
然后我們請求refresh token介面:
獲取到了一個新的Access Token和一個新的refresh token,
接下來使用新獲取到的access token去請求創建TodoList:
可以看到新的access token是可以用來作為認證和授權的憑證請求介面的,
總結
在本文中我們實作了關于refresh token的功能,在實際應用中,客戶端程式可能需要根據原始Token中payload里的exp欄位去判斷是否將要過期,提前請求refresh token,以實作用戶無感知的持續攜帶有效的token去請求后端API資源,
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/412728.html
標籤:.NET Core