zoukankan      html  css  js  c++  java
  • [翻译] 探究 Asp.net core 中间件 JWT bearer authentication 背后的技术

    本文译自: https://andrewlock.net/a-look-behind-the-jwt-bearer-authentication-middleware-in-asp-net-core/

    本篇已收录至 asp.net core 随笔系列

    这篇文章是 asp.net core authentication 和 authorisation 系列中的一篇. 在第一篇中我们了解了关于 authentication 和 authorisation 的基础概念, 并且在随后的一篇了解 cookie middleware 的一些理论. 现在我们需要看看另一个中间件, 就是 JwtBearerAuthenticationMiddleware. 并且看看其底层的实现how it is implemented in ASP.NET Core

    什么是 Bearer Authentication?

    简单来说, 就是展示一个有效的令牌以后,你将会自动通过身份认证环节, 不需要任何其他额外的细节去证明确实是给你的令牌. 这种认证方式经常被用于 OAuth 2.0 认证框架中, 比如你经常会遇到使用第三方的账号登录某个app的过程.在实际的使用中, bearer token一般会被放在 http authorization header 中:

    Authorization: Bearer BEARER_TOKEN

    有一点很重要需要记住的是, 谁有令牌谁就可以访问被保护的资源, 所以一定要在 SSL/TLS 的协议中使用token,以防止token被拦截盗用等风险.

    什么是 JWT?

    JSON Web Token. 就是将之前一堆claims用一种web标准给转换成为JSON对象. 并且这个JSON对象是可以被签名加密和解密的. 所以被广泛的使用与当前互联网应用中. 尤其是对于那些实现了 OAuth 2.0 的应用中.

    JWT包含三部分:

    Header: 一个JSON对象, 用于定义和说明token的类型并且用于签名的算法.
    Payload: 一个JSON对象, 用于表述 Claims的主体内容.
    Signature: 一个将header和payload加密的字符串, 用于保证令牌没有被修改过.

    然后这三部分会分别通过 base64Url 进行编码, 然后用 .链接起来. 所以使用 JWT 可以允许你通过一种打包的方式发送 Claims, 并且通过签名的方式保证不会被更改. 其最大的优点是在于那些无状态的应用程序中, 通过token验证身份, 而不必依赖于 server 端的 session 来验证身份. (译者按: 当 server 端不依赖 session, 才是分布式 server 的基础.)

    此处不会详细说明什么 JWT tokens, 以及 OAuth, 因为它们本身是一个非常大的话题. 在这篇文章中我更有兴趣的是讨论中间件是如何与 Asp.net Core 协作使用的. 如果你对前两者有兴趣, 我建议你去看看 jwt.ioauth0.com , 官网上有很多很好的信息和教程. 这里仅仅给出一个模糊的 JWT:

    {
      "alg": "HS256",
      "typ": "JWT"
    }
    {
      "name": "Andrew Lock"
    }
    

    可以被编码后放入header中:

    Authorisation: bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiQW5kcmV3IExvY2sifQ.RJJq5u9ITuNGeQmWEA4S8nnzORCpKJ2FXUthuCuCo0I

    JWT bearer authentication in ASP.NET Core

    你可以添加 JWT bearer authentication 到你的 asp.net core app中通过nuget pacakge: Microsoft.AspNetCore.Authentication.JwtBearer. 这个package提供了一个中间件允许扩展和使用 JWT bearer tokens. 目前没有一个 built-in 的机制为你生成 tokens. 但是如果你有需要的话,目前有很多项目和解决方案能够提供, 比如 IdentityServer 4. 当然你也可以通过这篇文章来创建自己的 token 中间件.

    当你添加了package到项目后, 你需要在 startup.cs 中对中间件进行配置.

    JwtBearerMiddleware

    当中间件被创建后, 会做一系列的预检查, 并初始化一部分默认属性值, 最重要的就是初始化 ConfigurationManager. 因为它主要是用于获取用于验证,刷新以及缓存JWT的配置信息.比如 issuer 和 signing key.

    JwtBearerHandler

    正如 cookie authentication 中间件中最主要的逻辑在 handler中, jwtBearerHandler也是非常主要的一环, 它重写了 HandleAuthenticateAsync()方法.

    这个方法的主要职责是用于解序列化 JWT, 验证, 以及创建一个 AuthenticateReuslt 带有一个 AuthenticationTicket(如果验证能够通过的话.)

  • 相关阅读:
    python基础之入门
    C#直接删除指定目录下的所有文件及文件夹(保留目录)
    删除Oracle文件、注册表
    WinRAR 激活码(KEY)
    用C#读取txt文件的方法(转)
    c# 生成 xml 文件
    Asp.Net 文件下载1——流下载(适用于大文件且防盗链)(转)
    Asp.Net异常:"由于代码已经过优化或者本机框架位于调用堆栈之上,无法计算表达式的值"的解决方法
    响应在此上下文中不可用 asp.net
    Ajax实现局部刷新
  • 原文地址:https://www.cnblogs.com/it-dennis/p/12626043.html
Copyright © 2011-2022 走看看