ASP.NET Core 实现自动刷新JWT Token
目录
- 原理
- 实现
- 结论
前言:
为了安全性考虑,我们可以设置JWT Token较短的过期时间,但是这样会导致客户端频繁地跳到登录界面,用户体验不好。
正常解决办法是增加refresh_token,客户端使用refresh_token去主动刷新JWT Token。
这里介绍一种变通的方式,自动刷新JWT Token。
原理
我们读取每个请求的Authorization头,获得当前请求的JWT Token。
检查当前token的过期时间,如果在30分钟以内,那么我们就生成一个具有新过期时间的JWT Token,并通过X-Refresh-Token头返回。
客户端检查到X-Refresh-Token头,就将保存的JWT Token替换掉,下次发送请求就是用最新的token了。
实现
创建一个Middleware,它的作用是检查JWT Token过期时间并生成新token返回:
public async Task InvokeAsync(HttpContext context)
{
JwtSecurityToken token = null;
string authorization = context.Request.Headers["Authorization"];
if (!string.IsNullOrEmpty(authorization)
&& authorization.StartsWith("Bearer "))
token = new JwtSecurityTokenHandler().
ReadJwtToken(authorization.Substring("Bearer ".Length));
//刷新Token
if (token != null
&& token.ValidTo > DateTime.UtcNow
&& token.ValidTo.AddMinutes(-30) <= DateTime.UtcNow)
{
context.Response.Headers.Add("X-Refresh-Token",
await RefreshTokenAsync(token));
}
await _next(context);
}
结论
当然,推荐大家尽量使用refresh_token的方式,毕竟这样安全性会更高一些。
到此这篇关于ASP.NET Core 实现自动刷新JWT Token的文章就介绍到这了,更多相关ASP.NET Core 自动刷新 内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!
相关推荐
-
详解ASP.NET Core Web Api之JWT刷新Token
前言 如题,本节我们进入JWT最后一节内容,JWT本质上就是从身份认证服务器获取访问令牌,继而对于用户后续可访问受保护资源,但是关键问题是:访问令牌的生命周期到底设置成多久呢?见过一些使用JWT的童鞋会将JWT过期时间设置成很长,有的几个小时,有的一天,有的甚至一个月,这么做当然存在问题,如果被恶意获得访问令牌,那么可在整个生命周期中使用访问令牌,也就是说存在冒充用户身份,此时身份认证服务器当然也就是始终信任该冒牌访问令牌,若要使得冒牌访问令牌无效,唯一的方案则是修改密钥,但是如果我们这么做了,
-
ASP.NET Core应用JWT进行用户认证及Token的刷新方案
目录 一.什么是JWT? 为什么要使用JWT? 二.JWT的组成: Header Payload Signature 三.认证流程 四.应用实例 认证服务 User相关: TokenHelper: 应用服务 五.Token的刷新 本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案 一.什么是JWT? JWT(json web token)基于开放标准(RFC 7519),是一种无状态的分布式的身份验证方式,主要用于在网络应用环境间安全地传递声
-
ASP.NET Core 实现自动刷新JWT Token
目录 原理 实现 结论 前言: 为了安全性考虑,我们可以设置JWT Token较短的过期时间,但是这样会导致客户端频繁地跳到登录界面,用户体验不好. 正常解决办法是增加refresh_token,客户端使用refresh_token去主动刷新JWT Token. 这里介绍一种变通的方式,自动刷新JWT Token. 原理 我们读取每个请求的Authorization头,获得当前请求的JWT Token. 检查当前token的过期时间,如果在30分钟以内,那么我们就生成一个具有新过
-
ASP.NET Core学习之使用JWT认证授权详解
概述 认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统架构也从以前垂直扩展(增加服务器性能) -> 水平扩展(增加服务器数量) cookies-session 工作方式 客户端提交用户信息 -> 服务器识别用户 -> 服务端保存用户信息 -> 返回session-id客户端 -> 客户端保存ses
-
asp.net core MVC之实现基于token的认证
安装Nuget包 项目中添加包:dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer 添加认证配置 Startup类中添加如下配置: public void ConfigureServices(IServiceCollection services) { ... services.AddAuthentication(defaultScheme: JwtBearerDefaults.AuthenticationScheme
-
ASP.NET Core 6.0 添加 JWT 认证和授权功能
目录 序言 相关名词 认证(Authentication) 基本步骤 1 安装 Nuget 包 2 准备配置信息 3 添加服务 4 调用中间件 5 JwtHelper 类实现 6 控制器配置 7 测试调用 授权(Authorization) 相关标签(Attribute) 授权方式 1 Policy(策略) 2 Role(角色) 3 Scheme(方案) 3 定义权限项 4 实现 Requirement 5 实现授权处理程序 Handler 6 添加授权处理程序 7 添加授权策略 8 控制器配置
-
ASP.NET Core实现自动依赖注入
在开发.NET Core web服务的时候,我们习惯使用自带的依赖注入容器来进行注入. 于是就会经常进行一个很频繁的的重复动作:定义一个接口->写实现类->注入 有时候会忘了写Add这一步,看到屏幕上的报错一脸懵逼,然后瞬间反应过来忘了注入了.赶紧补上serviceCollection.AddXXX这句话 虽然说有很多开源框架已经实现了类似的工作,比如AutoFac,Unity等依赖注入框架.但是这些库都太庞大了,我个人还是喜欢轻量级的实现. 定义一个枚举 [AttributeUsage(At
-
在 ASP.NET Core 中自动启用 CAP 事务详情
目录 一.发布端事务 二.消费端事务 1.创建一个 CAP 过滤器 2.配置过滤器 本篇文章旨在描述如何在 ASP.NET Core项目中并以一种简便的方式启用CAP事务,因为在我们的示例中都是直接演示比较直观的方式,没有进行封装,有些初学者同学不太会,找到问我如何封装,本篇文章主要是一个简单的演示. 在本示例中 ,我们主要是基于 Entity Framework 来进行演示,如果你使用其他 Orm 原理类似,大家参考即可. 一.发布端事务 由于大部分人都是在 Web 中使用,所以可以通过使用
-
ASP.net Core微信平台开发配置Token
如果先进行微信平台开发,配置Token是第一步.否则往后所有的代码都没办法在平台上跑得动. 但是官方给的源码是PHP的,ASP.net core 配置Token 的版本又少.研究怎么配置Token浪费了我超多时间. 首先登录开发者平台,点击开发者工具--->公众平台测试账号 然后就需要配置我们的接口信息了 先创建一个配置实体 public class WeChatRequestModel { public string signature { get; set; } public string
-
ASP.NET Core 3.0轻量级角色API控制授权库
说明 ASP.NET Core 3.0 一个 jwt 的轻量角色/用户.单个API控制的授权认证库 最近得空,重新做一个角色授权库,而之前做了一个角色授权库,是利用微软的默认接口做的,查阅了很多文档,因为理解不够,所以最终做出了有问题. 之前的旧版本 https://github.com/whuanle/CZGL.Auth/tree/1.0.0 如果要使用微软的默认接口,我个人认为过于繁杂,而且对于这部分的资料较少... 使用默认接口实现授权认证,可以参考我另一篇文章 ASP.NET Core