c#关于JWT跨域身份验证的实现代码_c

jwt

697 浏览量更新于2023-05-28 评论收藏 144KB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

资源详情

资源评论

资源推荐

c#关于关于JWT跨域身份验证的实现代码跨域身份验证的实现代码

JSON Web Token（JWT）是目前最流行的跨域身份验证解决方案。为了网络应用环境间传递声明而执行的一种基于JSON的开发标准（RFC 7519），

该token被设计为紧凑且安全的，特别适用于分布式站点的单点登陆（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，

以便于从资源服务器获取资源，该token也可直接被用于认证，也可被加密。

一、一、JWT的组成的组成

下面是JWT的一段示例，分为三个部分，分别是头部（header），载荷（payload）}和签证（signature），他们之间用点隔开。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.

eyJpc3MiOiLmtYHmnIjml6Dlj4wiLCJleHAiOjE1NzExMDIxNTMsInN1YiI6InRlc3RKV1QiLCJhdWQiOiJVU0VSIiwiaWF0IjoiMjAxOS8xMC8xNSA5OjE1OjQzIiwiZGF0YSI6eyJuYW1lIjoiMTExIiwiYWdlIjoxMSwiYWRkcmVzcyI6Imh1YmVpIn19.

25IbZpAbSXBQsr2k3h0IzKRAC6z3OJTWg38VDtcEER8

二、和传统二、和传统session的对比的对比

JWT是基于json的鉴权机制，而且是无状态的，服务器端是没有如传统那样保存客户端的登录信息的，这就为分布式开发提供了便利，

因为传统的方式是在服务端保存session信息，session是保存在内存中的，当客户量变大的时候，对服务器的压力自然会增大，

最关键的是在集群分布式中，每一次登录的服务器可能不一样，那么可能导致session保存在其中一个服务器，而另外一个服务器被请求的

时候还是无状态，除非你再次登录，这就造成了很大的麻烦，也有人说把session存放在专门的服务器，每次都去那个服务器请求，

我不认为这是很好的解决方案，本来集群就是为了高可用，如果你配置session的服务器坏了，大家都跟着完蛋，所以JWT这种无状态的方式

就非常适合这种分布式的系统。

三、代码三、代码 JwtHelper

光说不练假把式，下面还是来一段代码。

还是老方式，先用NuGet把JWT引用进来，这里需要引入JWT和newtonsoft.json

如下图所示：

然后就是生成JWT的方法。

static IJwtAlgorithm algorithm = new HMACSHA256Algorithm();//HMACSHA256加密

static IJsonSerializer serializer = new JsonNetSerializer();//序列化和反序列

static IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();//Base64编解码

static IDateTimeProvider provider = new UtcDateTimeProvider();//UTC时间获取

const string secret = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC4aKpVo2OHXPwb1R7duLgg";//服务端

public static string CreateJWT(Dictionary<string, object> payload)

{

IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);

return encoder.Encode(payload, secret);

}

看到这段代码，你说觉得怎么这么简单，没错，就是这么简单，这个方法是被我们引用进来的这个JWT给封装了，所以看起来很简单

当时我看到这里也是有点吃惊，不过我还是对源码进行了研究，下面贴出一段源码给大家看看

如下所示，这段代码是比较核心的代码，在没有传递header的时候，他帮你默认加了header，

其实下面的这段代码很容易看懂，无非就是对header和payload进行base64加密（其实这里说加密也不是很恰当）。

这里的header你可以自己传递进来。

public string Encode(IDictionary<string, object> extraHeaders, object payload, byte[] key)

{

if (payload is null)

throw new ArgumentNullException(nameof(payload));

var segments = new List<string>(3);

var header = extraHeaders is null ? new Dictionary<string, object>(StringComparer.OrdinalIgnoreCase) : new Dictionary<string, object>(extraHeaders, StringComparer.OrdinalIgnoreCase);

header.Add("typ", "JWT");

header.Add("alg", _algorithm.Name);

var headerBytes = GetBytes(_jsonSerializer.Serialize(header));

var payloadBytes = GetBytes(_jsonSerializer.Serialize(payload));

segments.Add(_urlEncoder.Encode(headerBytes));

segments.Add(_urlEncoder.Encode(payloadBytes));

var stringToSign = String.Join(".", segments.ToArray());

var bytesToSign = GetBytes(stringToSign);

var signature = _algorithm.Sign(key, bytesToSign);

segments.Add(_urlEncoder.Encode(signature));

return String.Join(".", segments.ToArray());

}