亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

通過.NET 6實現RefreshToken

 更新時間:2022年01月11日 08:56:03   作者:CODE4NOTHING  
當獲取到的Token過期以后,我們必須要重新請求認證接口以獲取新的Token,為了提升用戶體驗,我們一般會利用Refresh Token功能,本文將具體為大家介紹一下如何實現Refresh Token,感興趣的可以學習一下

需求

在上一篇文章使用.NET 6實現基于JWT的Identity功能中,我們演示了如何使用.NET框架的Identity組件實現基于JWT Token的認證和授權功能。我們可以想象一下場景:當獲取到的Token過期以后,我們必須要重新請求認證接口以獲取新的Token,在實際的應用中,表現出來就是雖然當前用戶一直在進行業(yè)務的操作,但是到了一個固定的時間點后,就會要求用戶重新登陸一次來獲取新Token,這對用戶的體驗是非常不友好的。所以我們引出了本文將要介紹的Refresh Token的概念。

那么我們?yōu)槭裁匆欢ㄐ枰粋€Refresh Token而不是將Token的過期時間設置的長一點呢?最主要的原因是如果這個長期的Token一旦被暴露,那么即使我們修改登錄密碼,也無法阻止已經被暴露的Token被用來訪問我們受保護的API資源,只能等到這個Token自己過期。所以我們希望設置一個短時間有效的Token,當客戶端Token失效后,服務端將會返回一個Token過期的響應,那么此時客戶端就可以攜帶這個已過期的Token和服務器之前簽發(fā)的一次性的Refresh Token去服務端換取一個新的Token和一個新的一次性Refresh Token。客戶端就可以在不需要重新登陸的情況下攜帶這個新的Token去訪問后端資源,同時也將Token暴露的影響降低了。

目標

TodoList實現Refresh Token功能。

原理與思路

為了實現Refresh Token功能,我們需要做這幾件事:

  • 在用戶請求Token時同時創(chuàng)建一個Refresh Token返回給客戶端;
  • 修改認證服務,使其能夠從已過期的Token中獲取用戶的Principal數據;
  • 創(chuàng)建一個refresh token的API接口用于響應客戶端的獲取新Token的邏輯。

實現

使ApplicationUser支持RefreshToken

ApplicationUser.cs

using Microsoft.AspNetCore.Identity;

namespace TodoList.Infrastructure.Identity;

public class ApplicationUser : IdentityUser
{
    public string? RefreshToken { get; set; }
    public DateTime RefreshTokenExpiryTime { get; set; }
}

運行Migration使修改生效。

修改CreateToken簽名使其同時返回Refresh Token

新建創(chuàng)建Token返回的響應體對象ApplicationToken

ApplicationToken.cs

namespace TodoList.Application.Common.Models;

public record ApplicationToken(string AccessToken, string RefreshToken);

修改接口定義

Task<ApplicationToken> CreateTokenAsync(bool populateExpiry);

并對應修改實現:

IdentityService.cs

public async Task<ApplicationToken> CreateTokenAsync(bool populateExpiry)
{
    var signingCredentials = GetSigningCredentials();
    var claims = await GetClaims();
    var tokenOptions = GenerateTokenOptions(signingCredentials, claims);
    var refreshToken = GenerateRefreshToken();

    User!.RefreshToken = refreshToken;
    if(populateExpiry)
        User!.RefreshTokenExpiryTime = DateTime.Now.AddDays(7);
    await _userManager.UpdateAsync(User);

    var accessToken = new JwtSecurityTokenHandler().WriteToken(tokenOptions);

    return new ApplicationToken(accessToken, refreshToken);
}
private string GenerateRefreshToken()
{
    // 創(chuàng)建一個隨機的Token用做Refresh Token
    var randomNumber = new byte[32];

    using var rng = RandomNumberGenerator.Create();
    rng.GetBytes(randomNumber);

    return Convert.ToBase64String(randomNumber);
}

修改login方法

AuthenticationController.cs

[HttpPost("login")]
public async Task<IActionResult> Authenticate([FromBody] UserForAuthentication userForAuthentication)
{
    if (!await _identityService.ValidateUserAsync(userForAuthentication))
    {
        return Unauthorized();
    }

    var token = await _identityService.CreateTokenAsync(true);
    return Ok(token);
}

到目前為止,我們已經為應用程序添加了Refresh Token所需要的一些基礎功能了,接下來就需要實現一個refresh token接口用于換取新的Token

實現refresh token接口

我們新建一個Action用于refresh token接口。

AuthenticationController.cs

[HttpPost("refresh")]
public async Task<IActionResult> Refresh([FromBody] ApplicationToken token)
{
    var tokenToReturn = await _identityService.RefreshTokenAsync(token);
    return Ok(tokenToReturn);
}

實現refresh token功能

我們在認證服務中添加Controller中調用的方法

IIdentityService.cs

Task<ApplicationToken> RefreshTokenAsync(ApplicationToken token);

并實現接口方法:

IdentityService.cs

// 省略其他...
public async Task<ApplicationToken> RefreshTokenAsync(ApplicationToken token)
{
    var principal = GetPrincipalFromExpiredToken(token.AccessToken);

    var user = await _userManager.FindByNameAsync(principal.Identity?.Name);
    if (user == null || user.RefreshToken != token.RefreshToken || user.RefreshTokenExpiryTime <= DateTime.Now)
    {
        throw new BadHttpRequestException("provided token has some invalid value");
    }

    User = user;
    return await CreateTokenAsync(true);
}

private ClaimsPrincipal GetPrincipalFromExpiredToken(string token)
{
    // 根據已過期的Token獲取用戶相關的Principal數據,用來生成新的Token
    var jwtSettings = _configuration.GetSection("JwtSettings");
    var tokenValidationParameters = new TokenValidationParameters {
        ValidateAudience = true,
        ValidateIssuer = true,
        ValidateIssuerSigningKey = true,
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Environment.GetEnvironmentVariable("SECRET") ?? "TodoListApiSecretKey")), ValidateLifetime = true,
        ValidIssuer = jwtSettings["validIssuer"],
        ValidAudience = jwtSettings["validAudience"]
    };

    var tokenHandler = new JwtSecurityTokenHandler();
    var principal = tokenHandler.ValidateToken(token, tokenValidationParameters, out var securityToken);
    if (securityToken is not JwtSecurityToken jwtSecurityToken || 
        !jwtSecurityToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256, StringComparison.InvariantCultureIgnoreCase))
    {
        throw new SecurityTokenException("Invalid token");
    }

    return principal;
}

接下來我們就可以驗證refresh token的功能了。

驗證

啟動Api項目,首先我們獲取Token:

可以看到同時返回了refresh token。

然后我們請求refresh token接口:

獲取到了一個新的Access Token和一個新的refresh token。

接下來使用新獲取到的access token去請求創(chuàng)建TodoList

可以看到新的access token是可以用來作為認證和授權的憑證請求接口的。

總結

在本文中我們實現了關于refresh token的功能,在實際應用中,客戶端程序可能需要根據原始Token中payload里的exp字段去判斷是否將要過期,提前請求refresh token,以實現用戶無感知的持續(xù)攜帶有效的token去請求后端API資源。

到此這篇關于通過.NET 6實現RefreshToken的文章就介紹到這了,更多相關.NET 6 RefreshToken內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!

相關文章

  • MVC4制作網站教程第四章 添加欄目4.1

    MVC4制作網站教程第四章 添加欄目4.1

    這篇文章主要為大家詳細介紹了MVC4制作網站教程,添加欄目功能實現代碼,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2016-08-08
  • ASP.NET郵件發(fā)送system.Net.Mail案例

    ASP.NET郵件發(fā)送system.Net.Mail案例

    這篇文章主要為大家詳細介紹了ASP.NET郵件發(fā)送system.Net.Mail案例,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2016-05-05
  • C#反射(Reflection)對類的屬性get或set值實現思路

    C#反射(Reflection)對類的屬性get或set值實現思路

    可以使用反射動態(tài)創(chuàng)建類型的實例,將類型綁定到現有對象,或從現有對象獲取類型并調用其方法或訪問其字段和屬性,接下來為大家介紹下對一個類別的屬性進行set和get值,感興趣的各位可以參考下哈
    2013-03-03
  • 教你30分鐘通過Kong實現.NET網關

    教你30分鐘通過Kong實現.NET網關

    Kong是一個Openrestry程序,而Openrestry運行在Nginx上,用Lua擴展了nginx。所以可以認為Kong = Openrestry + nginx + lua,這篇文章主要介紹了30分鐘通過Kong實現.NET網關,需要的朋友可以參考下
    2021-11-11
  • 一個Asp.Net的顯示分頁方法 附加實體轉換和存儲過程 帶源碼下載

    一個Asp.Net的顯示分頁方法 附加實體轉換和存儲過程 帶源碼下載

    現在自己寫的webform都不用服務器控件了,所以自己仿照aspnetpager寫了一個精簡實用的返回分頁顯示的html方法,其他話不說了,直接上代碼
    2012-10-10
  • gridview和checkboxlist的嵌套相關應用

    gridview和checkboxlist的嵌套相關應用

    gridview和checkboxlist的嵌套使用,會有效的提高開發(fā)的效率,不過很多的童鞋們對此還是很陌生的,接下來將幫助童鞋們實現gridview和checkboxlist的嵌套使用,感興趣的朋友可以了解下,或許對你有所幫助
    2013-02-02
  • asp.net coolite 刪除時彈出確定按鈕

    asp.net coolite 刪除時彈出確定按鈕

    如果用coolite的 Confirm() 是不知道你選擇了什么的 如上代碼才可以的
    2009-09-09
  • 關于兩個自定義控件的取值問題及接口的應用

    關于兩個自定義控件的取值問題及接口的應用

    一個.aspx的頁面中,用到了兩個用戶控件,其中想做的到A控件有一個按鈕,點擊的時候獲取到B控件中的一個textbox的值想必大家會使用findcontrol獲取控件吧,而在生成的時候名字是不確定的,那么如何書寫呢?接下來為您提供詳細的解決方法,感興趣的朋友可以了解下啊
    2013-01-01
  • ASP.NET數據綁定的記憶碎片實現代碼

    ASP.NET數據綁定的記憶碎片實現代碼

    ASP.NET數據綁定的記憶碎片實現代碼,需要的朋友可以參考下
    2012-10-10
  • 在.NET?Core中使用CSRedis的詳細過程

    在.NET?Core中使用CSRedis的詳細過程

    這篇文章主要介紹了在.NET?Core中使用CSRedis的相關知識,本文給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2022-06-06

最新評論