子曰:工欲善其事,必先利其器
github:
https://github.com/redAntCpp/CSharpTools
token的基本原理
token,引用百度百科的话语来说,就是:在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。
简单理解,在使用系统功能时,如果对安全要求比较高,则需要启动访问控制。举个例子,去电影院看电影,需要电影票。去医院看病,需要出示挂号凭证。
上述的电影票、挂号凭证就可以理解为是一种token。
在规定的时间内有效,持此凭证即可使用相应的服务
。
基本流程
- 客户端请求服务端提供token。
- 服务端产生一个token,并设置token的有效期后,返回给客户端。
- 客户端持此token,调用服务端的其他服务。
通常,token广泛应用于WebApi的访问控制中。
实现逻辑
下载工具集
引用工具集
using JWT;
using JWT.Algorithms;
using JWT.Serializers;
using Newtonsoft.Json.Linq;//使用json对象要用到
生成token、解析token帮助类
建立一个帮助类,用来生成token、解析token。假设文件名为
tokenHelper
。这里实现的是步骤中的第二步。
private static string secret = HOTConfig.GetConfig().GetTokenSecret(); //"GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk";
/// <summary>
/// 生成token
/// </summary>
/// <param name="payload">一个json对象,一般是验证信息。对这个json进行加密</param>
/// <returns></returns>
public static string SetJwtEncode(JObject payload)
{
IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
IJsonSerializer serializer = new JsonNetSerializer();
IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
var token = encoder.Encode(payload, secret); //加密
return token;
}
/// <summary>
/// 解析token
/// </summary>
/// <param name="token">之前生成的token</param>
/// <returns>返回解析后的结果,这个返回类型必须与加密的入参类型一致。</returns>
public static JObject GetJwtDecode(string token)
{
IJsonSerializer serializer = new JsonNetSerializer();
IDateTimeProvider provider = new UtcDateTimeProvider();
IJwtValidator validator = new JwtValidator(serializer, provider);
IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
var algorithm = new HMACSHA256Algorithm();
IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder, algorithm);
var userInfo = decoder.DecodeToObject<JObject>(token, secret, verify: true);//token为之前生成的字符串
return userInfo;
}
获取token入口
这里实现的是步骤中的第一步。创建一个控制器,用于客户调用,获取token值。
/// <summary>
/// 客户端调用此接口,用来获取token,创建token路由。
/// </summary>
/// <param name="userName"></param>
/// <param name="passWord"></param>
/// <returns></returns>
[Route("token")]
[HttpGet]
public HttpResponseMessage CreateToken(string userName,string passWord)
{
Log.AddInfo("TokenController.CreateToken()", "Begin");
string return_code;
string return_msg;
try
{
JsonDocument InData = new JsonDocument();
InData.add(new JsonElement("userName", userName));
InData.add(new JsonElement("passWord", passWord));
JObject JInData = (JObject)JsonConvert.DeserializeObject(InData.innerText);
Log.AddTrack("TokenController.CreateToken()", "判断用户合法性...");
if (isAPIUser(userName, passWord))
{
Log.AddTrack("TokenController.CreateToken()", "准备生成token");
string token = TokenHelper.SetJwtEncode(JInData);//生成token
Log.AddTrack("TokenController.CreateToken()", "token生成完毕:" + token);
return_code = "SUCCESS";
return_msg = "生成token成功";
JsonDocument outParam = new JsonDocument();//出参部分
outParam.add(new JsonElement("return_code", return_code));
outParam.add(new JsonElement("return_msg", return_msg));
outParam.add(new JsonElement("Token", token));
outParam.add(new JsonElement("expires_in", HOTConfig.GetConfig().GetTokenTimeStamp()));
//返回纯文本text/plain ,返回json application/json ,返回xml text/xml
HttpResponseMessage result = new HttpResponseMessage
{
Content = new StringContent
(
outParam.innerText,
Encoding.GetEncoding("UTF-8"),
"application/json"
)
};
Log.AddTrack("TokenController.CreateToken()", "End");
return result;
}
else
{
return_code = "SUCCESS";
return_msg = "生成token失败:无效用户用与密码";
Log.AddError("TokenController.CreateToken()", "生成token失败:无效用户用与密码");
JsonDocument outParam = new JsonDocument();//出参部分
outParam.add(new JsonElement("return_code", return_code));
outParam.add(new JsonElement("return_msg", return_msg));
//返回纯文本text/plain ,返回json application/json ,返回xml text/xml
HttpResponseMessage result = new HttpResponseMessage
{
Content = new StringContent
(
outParam.innerText,
Encoding.GetEncoding("UTF-8"),
"application/json"
)
};
return result;
}
}
catch (Exception ex)
{
return_code = "FAIL";
return_msg = "获取token异常";
JsonDocument outParam = new JsonDocument();//出参部分
outParam.add(new JsonElement("return_code", return_code));
outParam.add(new JsonElement("return_msg", return_msg + " :" + ex.Message));
//返回纯文本text/plain ,返回json application/json ,返回xml text/xml
HttpResponseMessage result = new HttpResponseMessage
{
Content = new StringContent
(
outParam.innerText,
Encoding.GetEncoding("UTF-8"),
"application/json"
)
};
return result;
}
}
//验证账号密码
private bool isAPIUser(string userName,string password)
{
if(userName == "test" && password == "1234")
{
return true;
}
else
{
return false;
}
}
实现token验证
这里实现第三步,实现验证。也是最重要的一步。
在app_start文件夹下,新建一个类文件,命名为
APIFilter
,命名可以随意,不过要记住,因为待会要用。
随后最关键的一步,这个类要继承验证类:
public class APIFilter : AuthorizeAttribute
下面介绍一下要重写的几个类:
- OnAuthorization: 方法的解释为:为操作授权时使用。
- IsAuthorized:指示指定的控件是否已经获得授权。如果已经获得授权,则返回true,否则返回false。
- HandleUnauthorizedRequest:当授权失败时的处理。
token验证
我们的验证逻辑其实可以写在OnAuthorization或者IsAuthorized。这次我们写在IsAuthorized。
首先,声明
全局变量
:
private string ErrorMessage = "";
代码逻辑如下:
protected override bool IsAuthorized(HttpActionContext actionContext)
{
var httpContext = actionContext.Request.Properties["MS_HttpContext"] as HttpContextBase;
var authHeader = httpContext.Request.Headers["token"];
if (authHeader == null)
{
ErrorMessage = "此接口必须携带token访问!";
return false;//没有头文件为空,返回失败
}
else //字段值不为空
{
JObject LoginInfo = TokenHelper.GetJwtDecode(authHeader);
string UserName = LoginInfo["userName"].ToString();
string PassWord = LoginInfo["PassWord"].ToString();
if (isAPIUser(UserName, PassWord))
{
//这里应该验证有效期,暂时没写,后续提供思路
return true;
}
else
{
ErrorMessage = "token验证失败:您没有权限调用此接口,请联系管理员!";
return false;
}
}
}
private bool isAPIUser(string userName, string PassWord)
{
if (userName == "test" && PassWord == "1234")
{
return true;
}
else
{
return false;
}
}
注意:这里有一段代码
var authHeader = httpContext.Request.Headers["token"];
,意思是从请求头中获取token,所以调用者必须在请求头中带上token字段,并附上token字符串。类似下方:
token失败处理
protected override void HandleUnauthorizedRequest(HttpActionContext filterContext)
{
base.HandleUnauthorizedRequest(filterContext);
var response = filterContext.Response = filterContext.Response ?? new HttpResponseMessage();
response.StatusCode = HttpStatusCode.Forbidden;
string erro = string.Format("{\"Error\" : \"{0}\"}", ErrorMessage);
response.Content = new StringContent(erro, Encoding.UTF8, "application/json");
}
response.StatusCode = HttpStatusCode.Forbidden;
是指的服务端的状态码。这里也可以设置为401,具体码表见百度。
此时,我们已经可以使用上述代码进行token的生成与解密了,下一篇介绍一下token的验证机制以及时效性设置。
版权声明:本文为redRnt原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。