JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
Nuget包:NewLife.Core、NewLife.Secrurity
源码:https://github.com/NewLifeX/X/blob/master/NewLife.Core/Web/JwtBuilder.cs
视频:https://www.bilibili.com/video/BV1TL4y1c7Hu
视频:https://www.bilibili.com/video/BV1at4y1c7zB
功能特性
主要功能特性:
- Json格式简单易用,JWT目前已经成为最常见的web验证方式;
- 主体部分可以按需增加多种数据,满足不同业务场景需要;
- 支持多种数字签名方式,HS256/HS384/HS512密钥短小,RS256/RS384/RS512安全性更高;
- 支持外扩数字签名方式,NewLife.Security 支持ES256/ES384/ES512;
应用场景
使用JWT实现的SSO单点登录工作流程
用户首先前往SSO用户中心进行身份验证,获取JWT令牌,即可携带令牌访问各应用服务器。
令牌具有有效期,一般2小时过期。应用服务器遇到过期令牌时,应该拒绝提供服务。
SSO用户中心实际上颁发两个令牌,访问令牌用于访问各应用服务器,刷新令牌用于在令牌过期之前请求SSO刷新令牌。
示例详解
JwtBuilder设置Secret密钥后(默认算法HS256),通过Encode编码匿名对象数据,得到JWT令牌。
解码时只需要设置密钥,然后TryDecode即可,TryDecode返回JWT令牌验证是否通过,如果不通过,message输出参数指示错误内容。
var builder = new JwtBuilder { IssuedAt = 1516239022.ToDateTime(), Expire = DateTime.MinValue, Secret = "Smart", }; var token = builder.Encode(new { sub = "0201", name = "stone" }); Assert.NotNull(token); Assert.NotEmpty(token); var ts = token.Split('.'); Assert.Equal(3, ts.Length); Assert.Equal("eyJhbGciOiJIUzI1NiJ9", ts[0]); Assert.Equal("eyJzdWIiOiIwMjAxIiwibmFtZSI6InN0b25lIiwiaWF0IjoxNTE2MjM5MDIyfQ", ts[1]); Assert.Equal("mY2_rvQORkyYpK3f84liG2EDpaYY7pO43sRgcli381U", ts[2]); var builder2 = new JwtBuilder { Secret = builder.Secret, }; ts = builder2.Parse(token); Assert.NotNull(ts); Assert.Equal(3, ts.Length); var rs = builder2.TryDecode(token, out var msg); Assert.True(rs); Assert.Null(msg); Assert.Null(builder2.Type); Assert.Equal("0201", builder2.Subject); Assert.Equal("stone", builder2["name"]);
ES512扩展
HS512安全性不够,RS512密钥太长导致令牌也很长。
此时最合适使用ES512,该算法封装在 NewLife.Security 中,引用nuget包后,需要注册算法:
JwtBuilder.RegisterAlgorithm("ES512", ECDsaHelper.SignSha512, ECDsaHelper.VerifySha512)
JwtBuilder.RegisterAlgorithm("ES256", ECDsaHelper.SignSha256, ECDsaHelper.VerifySha256); JwtBuilder.RegisterAlgorithm("ES384", ECDsaHelper.SignSha384, ECDsaHelper.VerifySha384); JwtBuilder.RegisterAlgorithm("ES512", ECDsaHelper.SignSha512, ECDsaHelper.VerifySha512); var prvKey = @"-----BEGIN PRIVATE KEY----- MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgevZzL1gdAFr88hb2 OF/2NxApJCzGCEDdfSp6VQO30hyhRANCAAQRWz+jn65BtOMvdyHKcvjBeBSDZH2r 1RTwjmYSi9R/zpBnuQ4EiMnCqfMPWiZqB4QdbAd0E7oH50VpuZ1P087G -----END PRIVATE KEY-----"; var pubKey = @"-----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEEVs/o5+uQbTjL3chynL4wXgUg2R9 q9UU8I5mEovUf86QZ7kOBIjJwqnzD1omageEHWwHdBO6B+dFabmdT9POxg== -----END PUBLIC KEY-----"; var builder = new JwtBuilder { Algorithm = "ES512", Type = "JWT", IssuedAt = 1516239022.ToDateTime(), Expire = DateTime.MinValue, Secret = prvKey, }; var token = builder.Encode(new { sub = "1234567890", name = "NewLife", admin = true }); Assert.NotNull(token); Assert.NotEmpty(token); var ts = token.Split('.'); Assert.Equal(3, ts.Length); Assert.Equal("eyJhbGciOiJFUzUxMiIsInR5cCI6IkpXVCJ9", ts[0]); Assert.Equal("eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ik5ld0xpZmUiLCJhZG1pbiI6dHJ1ZSwiaWF0IjoxNTE2MjM5MDIyfQ", ts[1]); //Assert.Equal("xyCWz7tNjH4UUkxi7BqlWE4V857XA6SYC-ZFukvexvIgsGQt9SBcpdglz3NfhhrslOwF7HzWZHOJu3RrIFrDFA", ts[2]); var builder2 = new JwtBuilder { Algorithm = "ES512", Secret = pubKey, }; var rs = builder2.TryDecode(token, out var msg); Assert.True(rs); Assert.Null(msg); Assert.Equal("JWT", builder2.Type); Assert.Equal("1234567890", builder2.Subject); Assert.Equal("NewLife", builder2["name"]); Assert.True(builder2["admin"].ToBoolean());
总结
应用自己颁发自己验证使用的场景,推荐使用HS512,简单安全,且令牌长度较短,这是最常见的JWT在Web应用场景。
应用颁发令牌给多个第三方使用时,安全起见不能把HS512密钥给对方,此时推荐使用ES512,安全性很高,并且令牌长度远比RS512要短,(但比HS512要长一些)。