c#關于JWT跨域身份驗證的實現(xiàn)代碼

更新時間：2019年10月16日 09:09:08 作者：流月無雙

這篇文章主要介紹了c#關于JWT跨域身份驗證的實現(xiàn)代碼，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

JSON Web Token（JWT）是目前最流行的跨域身份驗證解決方案。為了網(wǎng)絡應用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開發(fā)標準（RFC 7519），

該token被設計為緊湊且安全的，特別適用于分布式站點的單點登陸（SSO）場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，

以便于從資源服務器獲取資源，該token也可直接被用于認證，也可被加密。

一、JWT的組成

下面是JWT的一段示例，分為三個部分，分別是頭部（header），載荷（payload）}和簽證（signature），他們之間用點隔開。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.
eyJpc3MiOiLmtYHmnIjml6Dlj4wiLCJleHAiOjE1NzExMDIxNTMsInN1YiI6InRlc3RKV1QiLCJhdWQiOiJVU0VSIiwiaWF0IjoiMjAxOS8xMC8xNSA5OjE1OjQzIiwiZGF0YSI6eyJuYW1lIjoiMTExIiwiYWdlIjoxMSwiYWRkcmVzcyI6Imh1YmVpIn19.
25IbZpAbSXBQsr2k3h0IzKRAC6z3OJTWg38VDtcEER8

二、和傳統(tǒng)session的對比

JWT是基于json的鑒權(quán)機制，而且是無狀態(tài)的，服務器端是沒有如傳統(tǒng)那樣保存客戶端的登錄信息的，這就為分布式開發(fā)提供了便利，

因為傳統(tǒng)的方式是在服務端保存session信息，session是保存在內(nèi)存中的，當客戶量變大的時候，對服務器的壓力自然會增大，

最關鍵的是在集群分布式中，每一次登錄的服務器可能不一樣，那么可能導致session保存在其中一個服務器，而另外一個服務器被請求的

時候還是無狀態(tài)，除非你再次登錄，這就造成了很大的麻煩，也有人說把session存放在專門的服務器，每次都去那個服務器請求，

我不認為這是很好的解決方案，本來集群就是為了高可用，如果你配置session的服務器壞了，大家都跟著完蛋，所以JWT這種無狀態(tài)的方式

就非常適合這種分布式的系統(tǒng)。

三、代碼 JwtHelper

光說不練假把式，下面還是來一段代碼。

還是老方式，先用NuGet把JWT引用進來，這里需要引入JWT和newtonsoft.json

如下圖所示：

然后就是生成JWT的方法。

static IJwtAlgorithm algorithm = new HMACSHA256Algorithm();//HMACSHA256加密
 static IJsonSerializer serializer = new JsonNetSerializer();//序列化和反序列
 static IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();//Base64編解碼
 static IDateTimeProvider provider = new UtcDateTimeProvider();//UTC時間獲取
const string secret = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC4aKpVo2OHXPwb1R7duLgg";//服務端
public static string CreateJWT(Dictionary<string, object> payload)
{
      IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
      return encoder.Encode(payload, secret);
}

看到這段代碼，你說覺得怎么這么簡單，沒錯，就是這么簡單，這個方法是被我們引用進來的這個JWT給封裝了，所以看起來很簡單

當時我看到這里也是有點吃驚，不過我還是對源碼進行了研究，下面貼出一段源碼給大家看看

如下所示，這段代碼是比較核心的代碼，在沒有傳遞header的時候，他幫你默認加了header，

其實下面的這段代碼很容易看懂，無非就是對header和payload進行base64加密（其實這里說加密也不是很恰當）。

這里的header你可以自己傳遞進來。

public string Encode(IDictionary<string, object> extraHeaders, object payload, byte[] key)
    {
      if (payload is null)
        throw new ArgumentNullException(nameof(payload));

      var segments = new List<string>(3);

      var header = extraHeaders is null ? new Dictionary<string, object>(StringComparer.OrdinalIgnoreCase) : new Dictionary<string, object>(extraHeaders, StringComparer.OrdinalIgnoreCase);
      header.Add("typ", "JWT");
      header.Add("alg", _algorithm.Name);

      var headerBytes = GetBytes(_jsonSerializer.Serialize(header));
      var payloadBytes = GetBytes(_jsonSerializer.Serialize(payload));

      segments.Add(_urlEncoder.Encode(headerBytes));
      segments.Add(_urlEncoder.Encode(payloadBytes));

      var stringToSign = String.Join(".", segments.ToArray());
      var bytesToSign = GetBytes(stringToSign);

      var signature = _algorithm.Sign(key, bytesToSign);
      segments.Add(_urlEncoder.Encode(signature));

      return String.Join(".", segments.ToArray());
    }

下面一段就是對JWT進行驗證的代碼，這里的寫法都差不多，反正都是調(diào)用JWT里面的方法，我們傳遞參數(shù)即可。

public static bool ValidateJWT(string token, out string payload, out string message)
    {
      bool isValidted = false;
      payload = "";
      try
      {
        IJwtValidator validator = new JwtValidator(serializer, provider);//用于驗證JWT的類

        IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder);//用于解析JWT的類
        payload = decoder.Decode(token, secret, verify: true);

        isValidted = true;

        message = "驗證成功";
      }
      catch (TokenExpiredException)//當前時間大于負載過期時間（負荷中的exp），會引發(fā)Token過期異常
      {
        message = "過期了！";
      }
      catch (SignatureVerificationException)//如果簽名不匹配，引發(fā)簽名驗證異常
      {
        message = "簽名錯誤！";
      }
      return isValidted;
    }

四、調(diào)用

class Program
  {
    static void Main(string[] args)
    {
      //載荷（payload）
      var payload = new Dictionary<string, object>
      {
        { "iss","流月無雙"},//發(fā)行人
        { "exp", DateTimeOffset.UtcNow.AddSeconds(10).ToUnixTimeSeconds() },//到期時間
        { "sub", "testJWT" }, //主題
        { "aud", "USER" }, //用戶
        { "iat", DateTime.Now.ToString() }, //發(fā)布時間 
        { "data" ,new { name="111",age=11,address="hubei"} }
      };
      //生成JWT
      Console.WriteLine("******************生成JWT*******************");
      string JWTString = JwtHelper.CreateJWT(payload);
      Console.WriteLine(JWTString);
      Console.WriteLine();

      //校驗JWT
      Console.WriteLine("*******************校驗JWT，獲得載荷***************");
      string ResultMessage;//需要解析的消息
      string Payload;//獲取負載
      if (JwtHelper.ValidateJWT(JWTString, out Payload, out ResultMessage))
      {
        Console.WriteLine(Payload);
      }
      Console.WriteLine(ResultMessage);//驗證結(jié)果說明
      Console.WriteLine("*******************END*************************");
    }
  }

結(jié)果如圖：