.NetCore JWT token过期时间设置

最新推荐文章于 2025-11-01 13:20:14 发布
转载 最新推荐文章于 2025-11-01 13:20:14 发布 · 1.7w 阅读 · 9 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/WuLex
文章标签:

#.netcore #c#

本文介绍如何在.NET Core项目中生成JWT并配置身份验证中间件。包括创建token的方法、Startup类中的配置细节及解决token过期后仍被接受的问题。

一、生成token

public string CreateToken(UserDto input)
{
            var tokenHandler = new JwtSecurityTokenHandler();
            var authTime = DateTime.Now;
            var expiresAt = authTime.AddHours(_myOptions.AccessTokenTime);//到期时间
            var tokenDescriptor = new SecurityTokenDescriptor
            {
                Subject = new ClaimsIdentity(new Claim[]
                {
                    new Claim(JwtClaimTypes.Audience,"api"),
                    new Claim(JwtClaimTypes.Issuer,"KouBei"),
                    new Claim(JwtClaimTypes.Id, input.Id),
                    new Claim(JwtClaimTypes.PhoneNumber, input.Phone),
                    new Claim(JwtClaimTypes.NotBefore, $"{new DateTimeOffset(authTime).ToUnixTimeSeconds()}"),//token生效时间
                    new Claim(JwtClaimTypes.Expiration, $"{new DateTimeOffset(expiresAt).ToUnixTimeSeconds()}")//到期时间,按秒数计算
                }),
                IssuedAt = DateTime.Now,//token生成时间
                Expires = expiresAt,
                NotBefore = authTime,
                SigningCredentials = new SigningCredentials(symmetricKey, SecurityAlgorithms.HmacSha256Signature)//密钥和加密方式
            };
            var token = tokenHandler.CreateToken(tokenDescriptor);
            var tokenString = tokenHandler.WriteToken(token);
            return tokenString;
}

二、Startup 配置

ConfigureServices方法中:

  services.AddAuthentication(x =>
            {
                x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            })
            .AddJwtBearer(o =>
            {
                o.Events = new JwtBearerEvents()
                {
                    OnMessageReceived = context =>
                    {
                        context.Token = context.Request.Query["AccessToken"];
                        return Task.CompletedTask;
                    }
                };
                o.SaveToken = true;
                o.TokenValidationParameters = new TokenValidationParameters
                {
                    NameClaimType = JwtClaimTypes.Name,
                    RoleClaimType = JwtClaimTypes.Role,

                    ValidIssuer = "KouBei",
                    ValidAudience = "api",
                    IssuerSigningKey = symmetricKey,
                    // 是否验证Token有效期,使用当前时间与Token的Claims中的NotBefore和Expires对比
                    ValidateLifetime = true,
                    //注意这是缓冲过期时间,总的有效时间等于这个时间加上jwt的过期时间,如果不配置,默认是5分钟
                    ClockSkew = TimeSpan.FromSeconds(4)

                };
});

c# - .NetCore JwtBearerAuthentication 不拒绝过期的 token

我正在生成 JWT 以用于我的 WebApi 项目。我将 token 设置为在一分钟内过期,以便我可以测试它在过期日期之后提交时是否拒绝 token

CreateToken Controller

public async Task<IActionResult> CreateToken([FromBody] CredentialModel model)
{
    var user = await _unitOfWork.UserManager.FindByNameAsync(model.UserName);

    if (user == null) return BadRequest();
    if (Hasher.VerifyHashedPassword(user, user.PasswordHash, model.Password) != PasswordVerificationResult.Success) return BadRequest();

    var userClaims = await UserManager.GetClaimsAsync(user);

    var claims = new[]
    {
        new Claim(JwtRegisteredClaimNames.Sub, user.UserName),
        new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
        new Claim(JwtRegisteredClaimNames.Iat, DateTime.UtcNow.ToString()),
        new Claim(JwtRegisteredClaimNames.GivenName, user.FirstName), 
        new Claim(JwtRegisteredClaimNames.FamilyName, user.LastName),
        new Claim(JwtRegisteredClaimNames.Email, user.Email)
    }
    .Union(userClaims);

    var cert = new Certificate(Configuration["Tokens:Certificate"]);
    var token = new JwtSecurityToken(
        issuer: Configuration["Tokens:Issuer"],
        audience: Configuration["Tokens:Audience"],
        claims: claims,
        expires: DateTime.UtcNow.AddMinutes(1),
        signingCredentials: cert.Signature
    );

    return Ok(new
    {
        token = new JwtSecurityTokenHandler().WriteToken(token),
        expiration = token.ValidTo
    });
}

token 认证-启动类

app.UseJwtBearerAuthentication(new JwtBearerOptions()
{
    AutomaticAuthenticate = true,
    AutomaticChallenge = true,
    TokenValidationParameters = new TokenValidationParameters()
    {
        ValidIssuer = Configuration["Tokens:Issuer"],
        ValidAudience = Configuration["Tokens:Audience"],
        ValidateIssuerSigningKey = true,
        IssuerSigningKey = new Certificate(Configuration["Tokens:Certificate"]).SecurityKey,
        ValidateLifetime = true
    },
});

尽管我设置了 validateLifetime = true ,但两分钟后 token 不会被拒绝。它将继续接受 token 。是否有我不知道的最短到期时间或我的设置错误?

ClockSkew 的默认值为 5 分钟。

app.UseJwtBearerAuthentication(new JwtBearerOptions()
{
    AutomaticAuthenticate = true,
    AutomaticChallenge = true,
    TokenValidationParameters = new TokenValidationParameters()
    {
        ValidIssuer = Configuration["Tokens:Issuer"],
        ValidAudience = Configuration["Tokens:Audience"],
        ValidateIssuerSigningKey = true,
        IssuerSigningKey = new Certificate(certPath: Configuration["Tokens:Certificate"], isValid: false).SecurityKey,
        ValidateLifetime = true,
        ValidateIssuer = true,
        ValidateAudience = true,
        ClockSkew = TimeSpan.Zero
    },
});
JWT 使用入门(二)token有效期
qq_37534947的博客
10-12 7279
生成token设置有效时间1分钟,其中密钥设置为"itcast"注意签发时间需要小于过期时间
redis缓存token设置jwt令牌过期时间
2202_75352238的博客
05-30 1707
在上文中 我们已经设置了自定义登录接口自定义拦截器jwt登录校验接口模拟账号登录_jwt自定义拦截器-优快云博客但是上文jwt过期时间是由yml文件中配置的,比较不优雅,我们今天来用redis缓存token 的方法来进行 jwt的过期设置
JWT过期机制怎么设计?资深架构师告诉你4种高可用方案
最新发布
GatherTide的博客
11-01 751
解决JWT过期难题,4种高可用方案提升ASP.NET Core身份认证体验。涵盖刷新令牌、分布式缓存、滑动过期等核心方法,适用于高并发场景,保障系统安全与用户体验。方案经资深架构师验证,值得收藏。
基于net core5.0的jwt过期超过一定时间则返回过期提醒,未超过则自动刷新
06-14
基于net core5.0的项目整合,涉及jwt配置、jwt刷新、过期判断,拦截器、restful格式的get和post传参等等。
JWT - 生成token并配置过期时间
产品经理克星(狗头)
11-06 2660
话说项目配置了Token, 就像是炒菜加味精。 一滴加进去,鲜味倍增, 保证安全又好吃。
jwt----token过期时间设置
淘淘桃的博客
07-10 2421
【代码】jwt----token过期时间设置
API接口之JWT设置token过期时间(二)
热门推荐
尼古拉斯大树的博客
10-11 7万+
目录 1.什么是Jwt 2.token是什么 3.为什么要使用token 4.如何实现token 5.JWT的简单案例 6.API接口token案例 6.1 token的创建 6.2 用户验证流程 7.测试流程 7.1 项目地址 7.2 表结构 1.什么是Jwt Jwt是JSON Web Tokens的简称,从单词可以看出它也是一种token,其实可以理解为一种生成tok...
精选资源
ASP.NET Core 3.1 JWT token实现与应用
04-25
- 设置合理的过期时间,防止长时间有效的令牌被滥用。 总结来说,ASP.NET Core 3.1结合JWT提供了一套强大且灵活的身份验证和授权解决方案。通过正确配置和使用,可以确保API的安全性,同时提供良好的用户体验。...
.NetCore集成JWT(JSON Web Tokens)作为认证方式
学习和分享
08-01 564
.NET Core中集成JWT(JSON Web Tokens)是一种常见的认证方式,它允许你在用户和服务器之间安全地传输信息。JWT通常用于身份验证和信息交换,因为它们可以被签名和加密。
.NetCore采取JWT方式进行身份认证
@涂涂博客
05-11 1616
.NetCore采取JWT方式进行身份认证 验证与授权 Authentication(身份认证) 认证是系统对请求的用户进行身份识别的过程。 Authorization (授权) 授权是对认证通过后的用户进行权限分配的过程。授权简单理解就是:识别认证后用户所拥有哪些权限,从而开放服务器相对应的资源; 我们通俗点来解释身份验证与授权:验证确认用户是否允许访问,授权给予登录后的用户指定权限标识(通过这个标识,服务端可允许用户进行访问和操作); 在进行讲解Jwt身份认证前我们来回一下过去我们在MVC、WebFor
.netcore jwt自动刷新token
04-06
b'.netcore jwt自动刷新token'的意思是使用.netcore框架中的jwt自动刷新tokenjwt是一种用于身份验证和授权的标准,自动刷新token可以提高应用程序的安全性,确保用户持续被授权。
JWT设置过期时间隐藏的坑
weixin_38501809的博客
09-13 1272
原来当你尝试计算2592000 * 1000时,实际的结果2592000000已经超出了int类型的最大值。因此,在Java中,这个计算会导致整数溢出,而溢出的结果是一个负数,即你看到的-1702967296。过期时间为2024-08-24T07:33:11,当前时间为2024-09-13T00:36:00,token过期了,但是我明明是获取token后马上执行的解密,那么问题应该在设置过期时间。看着没啥问题,过期时间是在当前时间上加的,而且这个时间设置得挺长的。他给的回答看不出问题。
php jwt设置有效期,07-如何设置JWT过期时间
weixin_39842937的博客
03-27 5645
参考页面要想设置JWT过期时间。需要在payload中增加 exp 此字段。这个字段是JWT内部约定的。用来表示过期时间{    "iss":"http://example.org",//非必须。issuer请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。"iat":1356999524,//非必须。issuedat。token创建时间...
token过期时间分平台(web和app)设置方法
xingyuemengjin的博客
08-30 2726
本文介绍了Spring下的登录和鉴权机制的主要方法以及 token认证的主要流程,并介绍在spring中web端和APP端设置不同token过期时间的实现方法。主要基于SpringBoot+springSecurity+JWT框架实现。
关于JWT Token 自动续期的解决方案
weixin_44742132的博客
09-28 6125
前言在前后端分离的开发模式下,前端用户登录成功后后端服务会给用户颁发一个jwt token。前端(如vue)在接收到jwt token后会将token存储到LocalStorage中。后...
设置若依Token过期时间
qq_53376718的博客
01-11 1万+
设置若依Token过期时间
关于JWT设置过期时间无效的问题
cn_ljr的博客
01-14 3790
关于JWT设置过期时间无效的问题
java jwt 如何设定过期时间
weixin_33862514的博客
11-15 1万+
用metabase时候内嵌jwt协议,java库是jjwt,一直找不到实现过期的方法,终于找到Jwt token = JwtHelper.encode("{\"resource\":{\""+resourceType+"\": "+dashboardId+"},\"params\":{},\"iat\":"+iat+",\"exp\":&q
Oauth2 自定义设置token过期时间
Cynicism_Smile的博客
06-29 998
方法:oauth2设置token过期时间,在配置中重写 DefaultTokenServices 中默认的12小时即可;框中的是底层jar接口中默认设置的12小时过期;
JWT Token过期时间如何设置和管理?
09-07
### JWT Token 过期时间设置 - **在 Payload 中设置**:JWT 的 Payload 里面可以设置一个过期时间,在用户每次访问的时候更新这个过期时间。由于 JWT 的 secret 加密机制,只要 `exp` 变了,整个 Token 就变了,相当于每次重新颁发了一个新的 Token [^1]。 - **.NetCore设置**:在 .NetCore 里,可通过代码设置过期时间。示例代码如下: ```csharp public string CreateToken(UserDto input) { var tokenHandler = new JwtSecurityTokenHandler(); var authTime = DateTime.Now; var expiresAt = authTime.AddHours(_myOptions.AccessTokenTime); // 到期时间 var tokenDescriptor = new SecurityTokenDescriptor { Subject = new ClaimsIdentity(new Claim[] { new Claim(JwtClaimTypes.Audience, "api"), new Claim(JwtClaimTypes.Issuer, "KouBei"), new Claim(JwtClaimTypes.Id, input.Id), new Claim(JwtClaimTypes.PhoneNumber, input.Phone), new Claim(JwtClaimTypes.NotBefore, $"{new DateTimeOffset(authTime).ToUnixTimeSeconds()}"), // token 生效时间 new Claim(JwtClaimTypes.Expiration, $"{new DateTimeOffset(expiresAt).ToUnixTimeSeconds()}") // 到期时间,按秒数计算 }) }; // 后续代码省略 } ``` [^2] - **PHP Laravel 中设置**:在 Laravel 里,默认在 `config/jwt.php` 中通过 `ttl` 设置令牌的到期时间,单位为分钟,默认是 1 小时。若要动态更改,可将 `exp` 添加为自定义声明。示例代码如下: ```php $token = JWTAuth::attempt($credentials, ['exp' => Carbon\Carbon::now()->addDays(7)->timestamp]); ``` 上述代码创建了一个在 7 天后到期的令牌,这里只需要一个 Unix 时间戳 [^3]。 ### JWT Token 过期时间的管理 - **定期刷新**:在用户持续使用系统时,可以定期刷新 Token过期时间,以保持用户的登录状态。比如,在用户每次进行重要操作时,重新生成一个新的 Token 并返回给客户端。 - **过期处理**:当客户端携带过期的 Token 进行请求时,服务器需要进行相应的处理。可以返回特定的错误码给客户端,客户端根据错误码提示用户重新登录。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值