Jwt、Session、Cookie

已于 2024-09-13 10:22:36 修改
阅读量516 收藏 6
点赞数 3
分类专栏: .net core 文章标签: 服务器 .netcore
于 2024-07-10 16:03:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_50985216/article/details/140323750
版权

一、Jwt

JWT(JSON Web Token)是一种用于在网络上安全传输信息的开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。JWT常用于身份验证、信息交换和授权等方面。

1、Jwt的结构

JWT由三部分组成,它们通过点(.)分隔:

1.1.Header(头部):包含令牌的元数据,如令牌的类型(JWT)和签名算法(如HMAC SHA256或RSA)。被Base64编码后作为JWT的第一部分。

示例(JSON格式):

{  
  "alg": "HS256",  
  "typ": "JWT"  
}

1.2.Payload(载荷):包含要传递的信息,如用户ID、角色、权限等。载荷分为注册声明、公共声明和私有声明。被Base64编码后作为JWT的第二部分。

注册声明包括:

  • iss(签发者):标识谁签发了这个令牌。
  • sub(主题):标识这个令牌所面向的用户。
  • aud(受众):标识这个令牌的接收对象。
  • exp(过期时间):标识令牌的有效期限。
  • nbf(生效时间):标识令牌开始生效的时间。
  • iat(签发时间):标识令牌的生成时间。
  • jti(JWT ID):令牌的唯一标识符。

示例(JSON格式):

{  
  "sub": "1234567890",  
  "name": "John Doe",  
  "admin": true  
}

1.3.Signature(签名):使用头部和载荷的Base64编码字符串以及一个密钥(secret)进行签名计算,以确保信息传输的安全性。

示例计算签名:

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

2、Jwt的配置

2.1、包  Microsoft.AspNetCore.Authentication.JwtBearer

2.2、配置Jwt参数

在 appsettings.json 文件中,配置JWT的相关参数,如密钥(Secret)、颁发者(Issuer)和受众(Audience)。

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*",
  "Jwt": {
    "Key": "ni-hai-yao-wo-zen-yang-YAOZENYANG!@#$%^&*()",
    "Issuer": "JwtIssuer",
    "Audience": "JwtAudience"
  }
}

2.3、注册JWT认证服务

这包括配置JWT令牌验证参数,并添加JWT Bearer认证中间件。

//添加Jwt Bearer认证
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(options =>
    {
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuerSigningKey = true,//验证签名密钥
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(builder.Configuration.GetSection("Jwt:Key").Value)),//签名密钥
            ValidateIssuer = true,//验证发行人
            ValidIssuer = builder.Configuration.GetSection("Jwt:Issuer").Value,//发行人
            ValidateAudience = true,//验证受众
            ValidAudience = builder.Configuration.GetSection("Jwt:Audience").Value,//受众
            ValidateLifetime = true,//验证Token是否过期
            ClockSkew = TimeSpan.Zero // 设置令牌时钟的偏差 

        };

        //如果jwt过期,在返回的header中加入Token-Expired字段为true,前端在获取返回header时判断
        options.Events = new JwtBearerEvents()
        {
            OnAuthenticationFailed = context =>
            {
                if (context.Exception.GetType() == typeof(SecurityTokenExpiredException))
                {
                    context.Response.Headers.Add("Token-Expired", "true");
                }
                return Task.CompletedTask;
            }
        };
    });


// 启用认证和授权中间件  
app.UseAuthentication();
app.UseAuthorization();

2.4、生成JWT令牌

新建个Jwt生成帮助类

namespace Jwt_lianxi
{
    public class JwtHelper
    {
        private readonly IConfiguration _configuration;
        public JwtHelper(IConfiguration configuration)
        {
            _configuration = configuration;
        }

        public string GenerateJwtToken(User user)
        {
            var claims = new[]
            {
                new Claim(JwtRegisteredClaimNames.Sub, user.Name),
                new Claim(ClaimTypes.Name, user.Name)
            };

            var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["Jwt:Key"]));//签名密钥
            var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

            var token = new JwtSecurityToken(
                issuer: _configuration["Jwt:Issuer"],
                audience: _configuration["Jwt:Audience"],
                claims: claims,
                expires: DateTime.Now.AddHours(1), // 过期时间  
                signingCredentials: credentials
                );

            return new JwtSecurityTokenHandler().WriteToken(token);

        }


    }

    //简单的用户模型
    public class User
    {
        public string Name { get; set; }
        public string Password { get; set; }
    }
}

2.5、swagger界面的token图形化验证

为了方便验证token,所以在swagger界面添加一个界面化的token验证。

program.cs

//添加swagger服务并配置Jwt授权
builder.Services.AddSwaggerGen(options =>
{
        //安全模式配置
        options.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme
        {
            Description = "请输入token,格式为 Bearer xxxxxxxx(注意中间必须有空格)",
            Name = "Authorization",
            In = ParameterLocation.Header,
            Type = SecuritySchemeType.ApiKey,
            BearerFormat = "JWT",
            Scheme = "Bearer"
        });

        //添加安全要求
        options.AddSecurityRequirement(new OpenApiSecurityRequirement {
        {
            new OpenApiSecurityScheme{
                Reference =new OpenApiReference{
                    Type = ReferenceType.SecurityScheme,
                    Id ="Bearer"
                }
            },new string[]{ }
        } 
        });
});

2.6、测试

最后新建控制器来测试

namespace Jwt_lianxi.Controllers
{
    [Route("api/[controller]/[action]")]
    [ApiController]
    public class AuthorizeTestController : ControllerBase
    {
        private readonly IConfiguration _configuration;
        public AuthorizeTestController(IConfiguration configuration)
        {
            _configuration = configuration;
        }

        [HttpPost]
        public string GetJwtToken(User user)
        {
            return new JwtHelper(_configuration).GenerateJwtToken(user);
        }

        [HttpGet]
        [Authorize]//只有有权限的才可以调用这个接口
        public ActionResult<string> Test1()
        {
            return "请求成功";
        }
    }
}

结果:调GetJwtToken接口会生成token,如果直接再调Test1接口,则会Error: response status is 401,需要先把GetJwtToken生成的token放入界面右上角的Authorize上验证,再次调Test1接口就成功了。界面如下

二、Cookie

1、cookie概述

cookie 常用于保存用户相关并保存在客户端电脑上的一段数据

1.1、cookie基础

//读取cookie内容
Request.Cookies["Key"];

//添加cookie值
1、正常添加
Response.Cookies.Append(key, value);

2、配置
ookieOptions option = new CookieOptions(); 
option.Expires = DateTime.Now.AddMilliseconds(10); 
Response.Cookies.Append(key, value, option);

//删除cookie
Response.Cookies.Delete("Key");

2、Cookie认证、授权

基于Cookie进行身份认证,通常的方案是用户成功登录后,服务端将用户的必要信息记录在Cookie中,并发送给浏览器,后续当用户发送请求时,浏览器将Cookie传回服务端,服务端就可以通过Cookie中的信息确认用户信息了。

  • 配置认证和授权
// 添加 Cookie 认证
builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
            .AddCookie(options =>
            {
                options.LoginPath = "/Home/Login";//如果一个未授权的用户尝试访问应用程序安全的URL时将会被自动跳转到/Home/Login
                options.LogoutPath = new PathString("/Account/Logout");
                options.AccessDeniedPath = "/account/accessdenied"; // 设置拒绝访问路径
                options.Cookie.Name = ".AspNetCore.Cookies";//成功登录后,将为用户创建一个cookie,名字是这个
                options.ExpireTimeSpan = TimeSpan.FromMinutes(10);
                options.SlidingExpiration = true;


                //配置回调函数
                options.Events.OnSigningIn = context =>
                {
                    Console.WriteLine($"{context.Principal.Identity.Name} 正在登录...");
                    return Task.CompletedTask;
                };
 
                options.Events.OnSignedIn = context =>
                {
                    Console.WriteLine($"{context.Principal.Identity.Name} 已登录");
                    return Task.CompletedTask;
                };
                
                options.Events.OnSigningOut = context =>
                {
                    Console.WriteLine($"{context.HttpContext.User.Identity.Name} 注销");
                    return Task.CompletedTask;
                };
 
                options.Events.OnValidatePrincipal += context =>
                {
                    Console.WriteLine($"{context.Principal.Identity.Name} 验证 Principal");
                    return Task.CompletedTask;
                };
            });


// 添加授权
builder.Services.AddAuthorization(options =>
{
    options.AddPolicy("RequireLoggedIn", policy =>
        policy.RequireAuthenticatedUser());//在需要权限的控制器上可加上特性[Authorize(Policy = "RequireLoggedIn")]。如果没配置这个,则默认[Authorize]就可以了
});


app.UseAuthentication();
app.UseAuthorization();
  • 创建测试控制器
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.Cookies;
using Microsoft.AspNetCore.Mvc;
using System.Security.Claims;

namespace MyWebApi.Controllers
{
    [ApiController]
    [Route("[controller]")]
    public class AccountController : ControllerBase
    {
        [HttpPost("login")]
        public async Task<IActionResult> Login(string username, string password)
        {
            // 验证用户名和密码(这里只是示例,实际应用中应使用更安全的方式)
            if (username == "test" && password == "password")
            {
                var claims = new List<Claim>
                {
                    new Claim(ClaimTypes.Name, username)
                };

                var claimsIdentity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme);
                var authProperties = new AuthenticationProperties
                {
                    IsPersistent = true // 是否持久化Cookie
                    ExpiresUtc = DateTimeOffset.UtcNow.AddDays(7) // Cookie过期时间 
                };

                await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(claimsIdentity), authProperties);

                return Ok(new { code = 200, message = "登录成功" });
            }

            return Unauthorized(new { code = 401, message = "登录失败" });
        }

        [HttpPost("logout")]
        public async Task<IActionResult> Logout()
        {
            await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);
            return Ok(new { code = 200, message = "注销成功" });
        }

        [HttpGet("accessdenied")]
        public IActionResult AccessDenied()
        {
            return Forbid();
        }
    }
}

  • Claim:表示一条信息的声明。以我们的身份证为例,里面包含姓名、性别等信息,如“姓名:张三”、“性别:男”,这些都是Claim。

  • Identity:表示一个身份。对于一个ClaimsIdentity来说,它是由一个或多个Claim组成的。我们的身份证就是一个Identity。

  • Principal:表示用户本人。对于一个ClaimsPrincipal来说,它是由一个或多个ClaimsIdentity组成的。想一下,我们每个人的身份不仅仅只有一种,除了身份证外,还有驾驶证、会员卡等。

三、Session

1、基础配置
//需要包 Microsoft.Extensions.Caching.StackExchangeRedis
builder.Services.AddStackExchangeRedisCache(options =>
{
    options.Configuration = "localhost"; // Redis 服务器地址
    options.InstanceName = "aaaa";
});

//配置session
builder.Services.AddSession(options =>
{
    options.IdleTimeout = TimeSpan.FromMinutes(5);// 会话空闲超时时间 
    options.Cookie.Name = "SessionId1";
    options.Cookie.HttpOnly = true;// Cookie仅通过HTTP传输
    options.Cookie.IsEssential = true; // 标记为必需
});


app.UseSession();
2、测试
//设置session
HttpContext.Session.SetString("age", "18");//还有SetInt32

//获取session
string str = HttpContext.Session.GetString("age");//还有GetInt32

//移除session
HttpContext.Session.Remove("age");

//清除所有session
HttpContext.Session.Clear();

一般在用户登录成功时,SetString设置username,以此来判断用户是否登录。用户注销则Remove这个username

JWTSessionCookie
N_a_n的博客
04-13 715
文章目录会话管理cookieSessionsessioncookie的优缺点JWTJWT工作JWT的优缺点优点缺点为什么Token可以防止CSRFCSRF工作原理总结 会话管理 由于HTTP请求是无状态的,也就是说,每一个请求是相互独立的,互不干涉,但是在实际应用场景中,这个显然是不符合要求的。所以使用HTTP+状态管理进行一个面向用户Web开发。 这几个技术都是对HTTP协议的一个补充。 co...
CookieSessionJWT的详解
miaozy
04-10 1636
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
CookieSessionJWT
weixin_61933613的博客
02-29 907
JSON Web Tokens(缩写 JWT)是目前最流行的跨域认证解决方案[1],解决了Session验证资源消耗和扩展性差的缺点。其官网是:首先,JWT的组成包括三个部分 :Header部分:主要包括alg属性和typ属性。alg表示签名算法(algorithm),默认是HMAC SHA256(写成HS56);typ表示令牌(token)类型(type),JWT令牌统一写为JWT。),此处为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9。
【JAVA】】深入浅出了解cookiesessionjwt
最新发布
小敢心的博客
03-18 673
本文章主要介绍cookiesessionjwt,帮你快速了解它们的原理和区别,适合新手初步快速了解这部分的基础概念和知识。Cookie 是由服务端生成并发送给客户端的一小段数据(键值对),由客户端(如浏览器)保存,并在后续请求中自动携带回服务端。Session 是服务端存储的用户会话数据(如登录状态、购物车内容),通常通过一个 Session ID 标识客户端身份,而 Session ID 一般通过 Cookie 传递。
简单的鉴权登录-java后端实现部分(JWT令牌+拦截器Interceptor)
WWX19990724的博客
04-11 3283
拦截器的主要是基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在Service或者一个方法前调用一个方法,或者在方法后调用一个方法,甚至在抛出异常的时候做业务逻辑的操作。拦截器的作用类似于Servlet中的Filter,都可以用于对处理器进行预处理和后处理。在Spring MVC 与Spring Boot 中使用拦截器一般是实现接口。拦截器的作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。
sessioncookiejwt
qq_32037561的博客
08-04 276
session,cookie,jwt
CookieSessionJWT
God_Hearing的博客
10-05 370
cookie cookie是保存在本地浏览器的一个明文的用户信息 session session是保存在服务器端的一个键值对类似字典的数据 他的主要作用就是加密和保存登录状态和会话 登陆时验证用户名密码,如果正确,就会返回session的key,以后,浏览器端直接携带key访问,无需验证用户名和密码 session缺点: 1.这种模式最大的问题是,没有分布式架构,无法支持横向扩展。 2.如果使用一个服务器,该模式完全没有问题。 3.但是,如果它是服务器群集或面向服务的跨域体系结构的话,则
CookieSessionJWT令牌技术、JwtUtils工具类
2301_77358195的博客
03-26 1565
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是CookieSession、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
会话技术:CookieSessionJWT的优缺点分析与实践
Sup星月★然的博客
08-24 948
会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自同一浏览器,以便在同一次会话的多个请求间共享数据。为什么要共享数据呢?由于 HTTP 是无状态协议,在后面请求中怎么拿到前一次请求生成的数据呢?此时就需要在一次会话的多次请求之间进行数据共享。
cookie-sessionJWT的比较
a_369488977的博客
11-02 261
1.1cookie原理: 用户名+密码   ·cookie是保存在用户浏览器端,用户名和密码等明文信息    1.2session使用原理   session是存储在服务器端的一段字符串,相当于字典的key   1.用户向服务器发送用户名和密码。   2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。   3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。   4.用户的每个后续请求...
HTTP无状态通信中的用户身份验证:CookieSessionJWT的详细解析
02-17
内容概要:本文详尽介绍了三种主要的身份验证技术——CookieSessionJWT的工作原理及其优缺点。针对HTTP协议的无状态特点导致的服务端无法追踪用户的挑战,提出解决方案。文中不仅讲解了各自的技术原理,还分别...
Cookie/JWT的区别和联系
weixin_43393670的博客
11-24 3472
Cookie/JWT的区别和联系 1、cookie 1.1、什么是cookiecookie是保存在用户浏览器端,用户名和密码等明文信息 1.2、cookie特点 HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。 HTTP Cookie(也叫 Web Cookie 或浏览器 C
Cookie,Session,JWT
优快云
10-19 570
HTTP协议 HTTP协议是一种无状态的协议。 早期WEB为了推广,需要一种可以快速共享资源的网络传输协议,这种协议旨在从服务器快速推送资源给任意一个客户端,而不在乎访问者是谁,后面就发明了HTTP协议。HTTP协议的无状态性是指HTTP协议无法记录传输过程中访问者是谁。 但是,随着WEB的发展,各种致力于为私人用户提供特定服务的服务器开始出现,比如电商服务器,用户需要经过电商服务器的身份认证才能继续使用服务器的其他功能。而HTTP协议本身是无状态的,即HTTP协议本身无法记录访问者信息。 身份
全网最细总结-Seesion,Cookie以及JWT的区别
qq_42898642的博客
06-14 1140
全网最详细,关于sessioncookie,token的用户认证的原理与区别
JWTSession的比较
death05的博客
04-27 903
如今,越来越多的项目开始采用JWT作为认证授权机制,那么它和之前的Session究竟有什么区别呢?今天就让我们来了解一下。 JWT是什么 定义 JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑和自包含的方式,用于在各方之间作为JSON对象安全地传输信息。作为标准,它没有提供技术实现,但是大部分的语言平台都有按照它规定的内容提供了自己的技术实现,所以实际...
一文搞懂CookieSession、Token、JWT
2401_85373732的博客
12-21 987
CookieSession是传统的基于服务器的会话管理机制,而Token和JWT则是更为灵活和安全的身份验证和授权机制,适用于分布式系统和前后端分离的应用场景。JWT是Token的一种实现方式,具有更高的可移植性和可扩展性。选择合适的技术可以有效地保护系统稳定运行并提高用户体验。
CookieSessionJwt
m0_45887053的博客
06-24 336
将数据持久化保存到服务器端或者浏览器端让浏览器和服务器进行多次数据交换时产生连续性
Cookie Session Jwt
rjlmylover_zyw的博客
02-14 426
文章目录cookiesessioncookiesession区别jwt cookie 是存在于浏览器的一个凭证 当浏览器第一次访问服务器 , 会在服务器创建一个cookie 再返回浏览器 cookie里面有用户的所有信息 当用户再次访问服务器时 , 携带着cookie(一个凭证) 服务器根据携带的cookie信息不同分别不同用户 session 浏览器访问服务器的时候 , 服务器创建一个session , 同时生成一个特殊的cookie , (name为JSESSIONID的固定值,value为
网络安全-CookieJWT
Saki_Python的博客
02-19 1063
✊不积跬步,无以至千里;不积小流,无以成江海和都是的一部分,因此属于前端开发需要了解的基础知识。和都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于和,但也有一些关键的区别。
sessioncookiejwt
07-27
SessionCookieJWT是用于在Web应用中管理用户身份和状态的机制。 Session是一种服务器端的会话状态记录机制,它基于Cookie实现。服务器在生成Session时会在Cookie中存储一个SessionID,用于标识该用户的会话状态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值