成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

實踐剖析.NET Core 如何支持 Cookie 滑動過期和 JWT 混合認證、授權

作者: Jeffcky
開發 后端
MaxAge控制著cookie的生命周期,若cookie過期,瀏覽器將會自動清除,如果沒有設置該值,實質上它的生命周期就是ExpireTimeSpan,那么它到底有何意義呢?

首先我們實現Cookie認證,然后再次引入JWT,最后在結合二者使用時聯系其他我們可能需要注意的事項

Cookie認證

在startup中我們添加cookie認證服務,如下:

  1. services.AddAuthentication(options => 
  3.     options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme; 
  4.     options.DefaultChallengeScheme = CookieAuthenticationDefaults.AuthenticationScheme; 
  5. }) 
  6. .AddCookie(options => 
  8.     options.ExpireTimeSpan = TimeSpan.FromMinutes(1); 
  9.     options.Cookie.Name = "user-session"
  10.     options.SlidingExpiration = true
  11. }); 

接下來則是使用認證和授權中間件,注意將其置于路由和終結點終結點之間,否則啟動也會有明確異常提示

  1. app.UseRouting(); 
  2.  
  3. app.UseAuthentication(); 
  4.  
  5. app.UseAuthorization(); 
  6.  
  7. app.UseEndpoints(endpoints => 
  9.   ...... 
  10. }); 

我們給出測試視圖頁,并要求認證即控制器添加特性

  1. [Authorize] 
  2. public class HomeController : Controller 
  4.     public IActionResult Index() 
  5.     { 
  6.         return View(); 
  7.     } 

當進入首頁,未認證默認進入account/login,那么接下來創建該視圖

  1. public class AccountController : Controller 
  3.     [AllowAnonymous] 
  4.     public IActionResult Login() 
  5.     { 
  6.       return View(); 
  7.     } 
  8.     ...... 

我們啟動程序先看看效果

如上圖,自動跳轉至登錄頁,此時我們點擊模擬登錄按鈕,發起請求去模擬登錄(發起ajax請求代碼就占不用篇幅給出了)

  1. /// <summary> 
  2. /// 模擬登錄 
  3. /// </summary> 
  4. /// <returns></returns
  5. [HttpPost] 
  6. [AllowAnonymous] 
  7. public async Task<IActionResult> TestLogin() 
  9.     var claims = new Claim[] 
  10.     { 
  11.       new Claim(ClaimTypes.Name"Jeffcky"), 
  12.     }; 
  13.  
  14.     var claimsIdentity = new ClaimsIdentity(claims, "Login"); 
  15.  
  16.     await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(claimsIdentity)); 
  17.  
  18.     return Ok(); 

上述無非就是構建身份以及該身份下所具有的身份屬性,類似個人身份證唯一標識個人,身份證上各個信息即表示如上聲明

同時呢,肯定要調用上下文去登錄,在整個會話未過期之前,根據認證方案獲取對應處理方式,最后將相關信息進行存儲等等,有興趣的童鞋可以去了解其實現細節哈

當我們請求過后,再次訪問首頁,將看到生成當前會話信息,同時我們將會話過期設置為1分鐘,在1分鐘內未進行會話,將自動重定向至登錄頁

注意如上標注并沒有值,那么這個值可以設置嗎?當然可以,在開始配置時我們并未給出,那么這個屬性又代表什么含義呢?

  1. options.Cookie.MaxAge = TimeSpan.FromMinutes(2); 

那么結合ExpireTimeSpan和MaxAge使用,到底代表什么意思呢?我們暫且撇開滑動過期設置

ExpireTimeSpan表示用戶身份認證票據的生命周期,它是認證cookie的有效負載,存儲的cookie值是一段加密字符串,在每次請求時,web應用程序都會根據請求對其進行解密

MaxAge控制著cookie的生命周期,若cookie過期,瀏覽器將會自動清除,如果沒有設置該值,實質上它的生命周期就是ExpireTimeSpan,那么它到底有何意義呢?

上述我們設置票據的生命周期為1分鐘,同時我們控制cookie的生命周期為2分鐘,若在2分鐘內關閉瀏覽器或重啟web應用程序,此時cookie生命周期并未過期,所以仍將處于會話狀態即無需登錄,若未設置MaxAge,關閉瀏覽器或重啟后將自動清除其值即需登錄,當然一切前提是未手動清除瀏覽器cookie

問題又來了,在配置cookie選項中,還有一個也可以設置過期的屬性

  1. options.Cookie.Expiration = TimeSpan.FromMinutes(3); 

當配置ExpireTimeSpan或同時配置MaxAge時,無需設置Expiration,因為會拋出異常

JWT認證

上述已經實現Cookie認證,那么在與第三方進行對接時,我們要使用JWT認證,我們又該如何處理呢?

首先我們添加JWT認證服務

  1. .AddJwtBearer(options => 
  3.     options.TokenValidationParameters = new TokenValidationParameters 
  4.     { 
  5.       ValidateIssuerSigningKey = true
  6.       IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("1234567890123456")), 
  7.       ValidateIssuer = true
  8.       ValidIssuer = "http://localhost:5000"
  9.       ValidateAudience = true
  10.       ValidAudience = "http://localhost:5001"
  11.       ValidateLifetime = true
  12.       ClockSkew = TimeSpan.FromMinutes(5) 
  13.     }; 
  14. }); 

將JWT Token置于cookie中,此前文章已有講解,這里我們直接給出代碼,先生成Token

  1. private string GenerateToken(Claim[] claims) 
  3.     var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("1234567890123456")); 
  4.  
  5.     var token = new JwtSecurityToken( 
  6.       issuer: "http://localhost:5000"
  7.       audience: "http://localhost:5001"
  8.       claims: claims, 
  9.       notBefore: DateTime.Now, 
  10.       expires: DateTime.Now.AddMinutes(5), 
  11.       signingCredentials: new SigningCredentials(key, SecurityAlgorithms.HmacSha256) 
  12.     ); 
  13.  
  14.     return new JwtSecurityTokenHandler().WriteToken(token); 

在登錄方法中,將其寫入響應cookie中,如下這般

  1. /// <summary> 
  2. /// 模擬登錄 
  3. /// </summary> 
  4. /// <returns></returns
  5. [HttpPost] 
  6. [AllowAnonymous] 
  7. public async Task<IActionResult> TestLogin() 
  9.     var claims = new Claim[] 
  10.     { 
  11.       new Claim(ClaimTypes.Name"Jeffcky"), 
  12.     }; 
  13.  
  14.     var claimsIdentity = new ClaimsIdentity(claims, "Login"); 
  15.  
  16.     Response.Cookies.Append("x-access-token", GenerateToken(claims), 
  17.       new CookieOptions() 
  18.       { 
  19.         Path = "/"
  20.         HttpOnly = true 
  21.       }); 
  22.  
  23.     await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(claimsIdentity)); 
  24.  
  25.  return Ok(); 

去取Bearer Token值,若成功取到這賦值給如下context.Token,所以此時我們需要手動從cookie中取出token并賦值

  1. options.Events = new JwtBearerEvents 
  3.     OnMessageReceived = context => 
  4.     { 
  5.         var accessToken = context.Request.Cookies["x-access-token"]; 
  6.  
  7.         if (!string.IsNullOrEmpty(accessToken)) 
  8.         { 
  9.             context.Token = accessToken; 
  10.         } 
  11.  
  12.         return Task.CompletedTask; 
  13.     } 
  14. }; 

一切已就緒,接下來我們寫個api接口測試驗證看看

  1. [Authorize("Bearer")] 
  2. [Route("api/[controller]/[action]")] 
  3. [ApiController] 
  4. public class JwtController : ControllerBase 
  6.     [HttpGet] 
  7.     public IActionResult Test() 
  8.     { 
  9.       return Ok("test jwt"); 
  10.     } 

思考一下,我們通過Postman模擬測試,會返回401嗎?結果會是怎樣的呢?

問題不大,主要在于該特性參數為聲明指定策略,但我們需要指定認證方案即scheme,修改成如下:

如此在與第三方對接時,請求返回token,后續將token置于請求頭中即可驗證通過,同時上述取cookie中token并手動賦值,對于對接第三方則是多余,不過是為了諸多其他原因而已

  1. [Authorize(AuthenticationSchemes = "Bearer,Cookies")] 

注意混合認證方案設置存在順序,后者將覆蓋前者即如上設置,此時將走cookie認證

滑動過期思考擴展

若我們實現基于Cookie滑動過期,同時使用signalr進行數據推送,勢必存在問題,因為會一直刷新會話,那么將導致會話永不過期問題,從安全層面角度考慮,我們該如何處理呢?

我們知道票據生命周期存儲在上下文AuthenticationProperties屬性中,所以在配置Cookie選項事件中我們可以進行自定義處理

  1. public class CookieAuthenticationEventsExetensions : CookieAuthenticationEvents 
  3.     private const string TicketIssuedTicks = nameof(TicketIssuedTicks); 
  4.  
  5.     public override async Task SigningIn(CookieSigningInContext context) 
  6.     { 
  7.         context.Properties.SetString( 
  8.           TicketIssuedTicks, 
  9.           DateTimeOffset.UtcNow.Ticks.ToString()); 
  10.  
  11.         await base.SigningIn(context); 
  12.     } 
  13.  
  14.     public override async Task ValidatePrincipal( 
  15.       CookieValidatePrincipalContext context) 
  16.     { 
  17.         var ticketIssuedTicksValue = context 
  18.           .Properties.GetString(TicketIssuedTicks); 
  19.  
  20.         if (ticketIssuedTicksValue is null || 
  21.           !long.TryParse(ticketIssuedTicksValue, out var ticketIssuedTicks)) 
  22.         { 
  23.           await RejectPrincipalAsync(context); 
  24.           return
  25.         } 
  26.  
  27.         var ticketIssuedUtc = 
  28.           new DateTimeOffset(ticketIssuedTicks, TimeSpan.FromHours(0)); 
  29.  
  30.         if (DateTimeOffset.UtcNow - ticketIssuedUtc > TimeSpan.FromDays(3)) 
  31.         { 
  32.           await RejectPrincipalAsync(context); 
  33.           return
  34.         } 
  35.  
  36.         await base.ValidatePrincipal(context); 
  37.     } 
  38.  
  39.     private static async Task RejectPrincipalAsync( 
  40.       CookieValidatePrincipalContext context) 
  41.     { 
  42.         context.RejectPrincipal(); 
  43.         await context.HttpContext.SignOutAsync(); 
  44.     } 

在添加Cookie服務時,有對應事件選項,使用如下

  1. options.EventsType = typeof(CookieAuthenticationEventsExetensions); 

 

擴展事件實現表示在第一次會話到當前時間截止超過3天,則自動重定向至登錄頁,最后將上述擴展事件進行注冊即可

 

責任編輯:武曉燕 來源: JeffckyShare
.NET CookieJWT
相關推薦

2019-11-08 08:00:00

ASP .NETASP .NET Cocookie

2024-09-09 07:37:51

AspJWT權限

2021-07-11 17:17:08

.NET 授權自定義

2021-02-17 08:51:55

cookie身份驗證

2019-03-27 15:51:51

API 認證授權

2009-07-21 15:47:19

2024-03-14 11:57:53

.NET Core反射開發

2025-01-10 00:27:32

2009-12-03 10:00:46

Linux系統啟動

2024-12-30 00:15:48

ASP.NET安全

2015-01-13 10:01:03

AWS市場亞馬遜云平臺

2021-12-05 18:22:20

.NETLS Cipher套件

2024-05-17 09:51:11

2021-08-09 08:53:30

HTTP狀態化協議

2009-08-05 18:30:36

Session和CooASP.NET表單

2022-04-21 09:00:00

API安全密鑰

2024-12-30 12:00:00

.NET Core依賴注入屬性注入

2024-03-27 14:43:07

.NET Core后端監控可觀測性

2021-07-11 12:12:49

.NETJWTjson

2024-10-08 10:11:57

點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 国产色视频网站 | 中文字幕亚洲一区二区三区 | 精品国产欧美一区二区三区不卡 | 毛片在线视频 | a欧美| 亚洲欧美综合精品久久成人 | 午夜在线观看免费 | 天天干夜夜操视频 | 午夜欧美一区二区三区在线播放 | 日韩视频中文字幕 | 国产精品1区2区3区 一区中文字幕 | 羞羞羞视频 | 国产99热 | 久久久一区二区三区四区 | 精品欧美乱码久久久久久 | 91精品国产91久久久久久 | 一呦二呦三呦国产精品 | 欧美一级特黄aaa大片在线观看 | 偷派自拍 | 日韩中文字幕在线不卡 | 黄色成人在线 | 久久精品色欧美aⅴ一区二区 | 欧美视频免费在线 | 国产黄a一级 | 国产精品久久久久一区二区三区 | 九九热精品在线 | www.色综合| 亚洲成人综合网站 | 成人在线观看免费 | 91免费观看在线 | 91麻豆产精品久久久久久 | 在线一区 | 理论片午午伦夜理片影院 | 99久久国产综合精品麻豆 | 亚洲综合无码一区二区 | 99re在线| 91在线精品视频 | 亚洲天堂二区 | 亚洲欧美在线视频 | 国产yw851.c免费观看网站 | 日韩精品免费视频 |