发帖
翼度科技»论坛 编程开发 .net 查看内容

C#利用Refit实现JWT自动续期

倾听冷暖丿

9

主题

9

帖子

27

积分

新手上路

Rank: 1

积分
27
显示全部楼层
前言

笔者之前开发过一套C/S架构的桌面应用,采用了JWT作为用户的登录认证和授权。遇到的唯一问题就是JWT过期了该怎么办?设想当一个用户正在进行业务操作,突然因为Token过期失效,莫名其妙地跳转到登录界面,是不是一件很无语的事。当然笔者也曾想过:为何不把JWT的有效期尽量设长些(假设24小时),用户每天总要下班退出系统吧,呵呵!这显然有点投机取巧,也违背了JWT的安全设计,看来等另想他法。
设计思路

后来笔者的做法是:当客户端每次发起Http请求时,先判断本地Token是否存在: 1. 如果不存在,则先向服务端发起登录验证请求,从而获取Token。2. 如果已存在,则检测Token是否即将过期。如果是的话,就重新发起登录验证更新Token,否则继续使用当前Token。其中判断Token是否即将过期没有一个标准设定,个人认为在1~5分钟之间比较合适。 以上就是实现Token自动续期的整个过程。
知识准备

什么是JWT

JWT(JSON Web Token) 是一个开发标准 (RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。JWT是由头部 (Header)、载荷 (Payload) 和签名 (Signature) 三部分组成,它们之间用圆点(.)连接。JWT最常见的应用场景是授权(Authorization)和信息交换(Information Exchange)。
什么是Refit

Refit 是一个受到Square的Retrofit库(Java)启发的自动类型安全REST库。我们的应用程序通过Refit请求网络,实际上是使用Refit接口层封装请求参数、Header、Url等信息,之后由HttpClient完成后续的请求操作,在服务端返回数据之后,HttpClient将原始的结果交给Refit,后者根据用户的需求对结果进行解析的过程。
技术实现

我们需要先创建一个客户端和一个服务端。为了演示方便,客户端仍用WinForm,服务器使用ASP.NET Core Web API。如图所示:

 JwtToken.Shared 公共类库:定义了一些POCO对象,供客户端/服务端共享使用。其中 TokenResult 定义如下:
  1. 1     public record TokenResult
  2. 2     {
  3. 3         /// <summary>
  4. 4         /// 访问令牌
  5. 5         /// </summary>
  6. 6         public string AccessToken { get; init; }
  7. 7
  8. 8         /// <summary>
  9. 9         /// 过期时间
  10. 10         /// </summary>
  11. 11         public DateTime ExpiredTime { get; init; }
  12. 12     }
复制代码
服务端实现

JwtToken.Server 提供两个后台服务:一个是登录验证服务,为客户端颁发用户凭证(JWT),另一个是获取系统时间服务。
在 Program 启动类,我们需要添加和使用指定服务,从而开启JWT认证和授权。 代码如下:
  1. 1     public class Program
  2. 2     {
  3. 3         public static void Main(string[] args)
  4. 4         {
  5. 5             var builder = WebApplication.CreateBuilder(args);
  6. 6             builder.Services.AddControllers();
  7. 7             builder.Services.AddAuthentication(options =>
  8. 8             {
  9. 9                 options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
  10. 10                 options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
  11. 11             })
  12. 12             .AddJwtBearer(o =>
  13. 13             {
  14. 14                 o.TokenValidationParameters = new TokenValidationParameters
  15. 15                 {
  16. 16                     NameClaimType = "Name",
  17. 17                     RoleClaimType = "Role",
  18. 18                     ValidateAudience = false,
  19. 19                     ValidateIssuer = false,
  20. 20                     ValidateLifetime = true,
  21. 21                     ClockSkew = TimeSpan.FromSeconds(30),
  22. 22                     IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(JwtConsts.SigningKey))
  23. 23                 };
  24. 24             });
  25. 25             builder.Services.AddAuthorization();
  26. 26
  27. 27             var app = builder.Build();
  28. 28             app.UseAuthentication();
  29. 29             app.UseAuthorization();
  30. 30             app.MapControllers();
  31. 31             app.Run();
  32. 32         }
  33. 33     }
复制代码
DemoController 控制器:提供 LoginAsync() 和 GetCurrentTimeAsync() 两个方法,代码如下:
  1. 1     [ApiController]
  2. 2     [Route("[controller]")]
  3. 3     public class DemoController : ControllerBase
  4. 4     {
  5. 5         /// <summary>
  6. 6         /// 登录
  7. 7         /// </summary>
  8. 8         /// <param name="dto"></param>
  9. 9         /// <returns></returns>
  10. 10         [HttpPost("Login")]
  11. 11         public async ValueTask<TokenResult> LoginAsync(LoginDto dto)
  12. 12         {
  13. 13             var user = GetUserInfo(dto.UserName);
  14. 14             if (user.Password == dto.Password) // 登录密码验证
  15. 15             {
  16. 16                 TokenResult tokenResult = await JwtHelper.GenerateAsync(user.Id, user.UserName, user.Name, user.PhoneNumber);
  17. 17                 return tokenResult;
  18. 18             }
  19. 19             return null;
  20. 20         }
  21. 21
  22. 22         /// <summary>
  23. 23         /// 获取当前时间
  24. 24         /// </summary>
  25. 25         /// <returns></returns>
  26. 26         [Authorize]
  27. 27         [HttpGet("CurrentTime")]
  28. 28         public ValueTask<DateTimeOffset> GetCurrentTimeAsync()
  29. 29         {
  30. 30             return ValueTask.FromResult(DateTimeOffset.Now);
  31. 31         }
  32. 32     }
复制代码
第26行代码:给 GetCurrentTimeAsync() 加上 [Authorize] 特性后, 当前服务必须授权后才能访问。
第16行代码:根据用户的Id、用户名、姓名等信息来生成 TokenResult ,它包含JWT令牌和过期时间。下面是JWT的生成代码:
  1. 1     public static class JwtHelper
  2. 2     {
  3. 3         /// <summary>
  4. 4         /// 生成Token
  5. 5         /// </summary>
  6. 6         /// <returns></returns>
  7. 7         public static ValueTask<TokenResult> GenerateAsync(int id, string username, string name, string phoneNumber)
  8. 8         {
  9. 9             var claims = new List<Claim>()
  10. 10             {
  11. 11                 new Claim("UserId", id.ToString()), // 用户Id
  12. 12                 new Claim("UserName", username),  // 用户名
  13. 13                 new Claim("Name", name) , // 姓名
  14. 14                 new Claim("PhoneNumber", phoneNumber) // 手机号码
  15. 15             };
  16. 16
  17. 17             var tokenHandler = new JwtSecurityTokenHandler();
  18. 18             var expiresAt = DateTime.Now.AddMinutes(20); // 过期时间
  19. 19             var tokenDescriptor = new SecurityTokenDescriptor
  20. 20             {
  21. 21                 Subject = new ClaimsIdentity(claims),
  22. 22                 Expires = expiresAt,
  23. 23                 SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(JwtConsts.SigningKey)),
  24. 24                    SecurityAlgorithms.HmacSha256Signature)
  25. 25             };
  26. 26
  27. 27             var token = tokenHandler.CreateToken(tokenDescriptor);
  28. 28             var tokenString = tokenHandler.WriteToken(token);
  29. 29
  30. 30             return ValueTask.FromResult(new TokenResult
  31. 31             {
  32. 32                 AccessToken = tokenString,
  33. 33                 ExpiredTime = expiresAt
  34. 34             });
  35. 35         }
  36. 36     }
复制代码
第18行代码:设置Token的过期时间,这里我们把有效期设为20分钟。
客户端实现

 JwtToken.Client 定义后台服务调用接口和实现Token自动续期。IDemoApi 接口定义如下:
  1. 1     [Headers(new[] { "Authorization:Bearer" })]
  2. 2     public interface IDemoApi
  3. 3     {
  4. 4         /// <summary>
  5. 5         /// 获取当前时间
  6. 6         /// </summary>
  7. 7         /// <returns></returns>
  8. 8         [Get("/Demo/CurrentTime")]
  9. 9         Task<DateTimeOffset> GetCurrentTimeAsync();
  10. 10     }
复制代码
第1行代码:给 IDemApi 接口加上 [Headers(...)] 特性,这样每次调用 GetCurrentTimeAsync() 方法,Http请求头部都会加上此信息。JWT的标准授权头部格式为:Authorization: Bearer 。
接下来,就是实现Token自动续期功能。笔者封装了一个 RestHelper 类,核心代码如下:
  1. 1     /// <summary>
  2. 2     /// Rest请求服务
  3. 3     /// </summary>
  4. 4     /// <typeparam name="T"></typeparam>
  5. 5     /// <returns></returns>
  6. 6     public static T For<T>()
  7. 7     {
  8. 8         var settings = new RefitSettings()
  9. 9         {
  10. 10             AuthorizationHeaderValueGetter = () => GetTokenAsync(),
  11. 11         };
  12. 12
  13. 13         return RestService.For<T>(BaseUrl, settings);
  14. 14     }
  15. 15
  16. 16     /// <summary>
  17. 17     /// 获取Token
  18. 18     /// </summary>
  19. 19     /// <returns></returns>
  20. 20     private static async Task<string> GetTokenAsync()
  21. 21     {
  22. 22         if (TokenResult is null || DateTimeOffset.Now.AddMinutes(1) >= TokenResult?.ExpiredTime)
  23. 23         {
  24. 24             var uri = new Uri($"{BaseUrl}/demo/login", UriKind.Absolute);
  25. 25
  26. 26             var dto = new LoginDto { UserName = "fjq", Password = "123456" };
  27. 27
  28. 28             using var httpResMsg = await new HttpClient().PostAsync(uri, JsonContent.Create(dto));
  29. 29
  30. 30             if (httpResMsg.IsSuccessStatusCode)
  31. 31             {
  32. 32                 var jsonStr = await httpResMsg.Content.ReadAsStringAsync();
  33. 33
  34. 34                 TokenResult = JsonHelper.FromJson<TokenResult>(jsonStr);
  35. 35             }
  36. 36         }
  37. 37
  38. 38         return TokenResult?.AccessToken;
  39. 39     }
复制代码
第10行代码:AuthorizationHeaderValueGetter 是 RefitSettings 对象的一个委托属性,用来提供授权头部信息,即JWT字符串。
第22至35行代码:即按照笔者前面的思路转换成代码实现,这里就不再详细说明了。
最后,我们用一行代码来获取后台系统时间:
  1. 1   var dt = await RestHelper.For<IDemoApi>().GetCurrentTimeAsync();  
复制代码
界面运行效果如下(~亲测有效~):

参考资料

 认识JWT - 废物大师兄 - 博客园 (cnblogs.com)
Refit | The automatic type-safe REST library for Xamarin and .NET (reactiveui.github.io)
    出处:https://www.cnblogs.com/fengjq/p/17631841.html    如果此文对你有帮助的话,请点一下右下角的【推荐】,欢迎评论区留言。本文已同步至作者微信公众号:玩转DotNet,感谢扫码关注!
来源:https://www.cnblogs.com/fengjq/archive/2023/08/18/17631841.html
免责声明:由于采集信息均来自互联网,如果侵犯了您的权益,请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

上一篇: .NET把文件嵌入到程序集中的EmbeddedFile

下一篇: .NET把文件嵌入到程序集中的EmbeddedFile

发表于 2023-8-18 14:41:27

举报 回复 使用道具

返回列表 发新帖

Archiver|手机版|小黑屋|翼度科技

Copyright © 2001-2020, Tencent Cloud. Powered by Discuz! X3.4