功能特性

主要功能特性：

DSA数字签名提供安全，默认1024位，最高4096位；
应用系统独立验证令牌，无需请求签发系统的接口；
令牌短小，一般在80字符以内，降低嵌入式设备的内存消耗以及网络传输量；
支持物联网设备使用，常见几十块钱的民用设备或更高的工业设备；

应用场景

工作流程

物联网设备联网后，首先前往验证系统进行设备有效性验证，获取令牌，即可携带令牌访问各应用服务器。

令牌具有有效期，一般2小时过期。应用服务器遇到过期令牌时，应该拒绝提供服务，设备将再次访问验证系统获取新令牌。

对于长连接通信的物联网设备，仅在连接建立的时候使用一次令牌验证身份，后续通信无需再次验证令牌，即使超过了有效期。除非网络中断需要重新建立TCP长连接。

示例详解

Nuget引用包 NewLife.Core

源码：https://github.com/NewLifeX/X/blob/master/NewLife.Core/Web/TokenProvider.cs

生成密钥

ReadKey方法用于读取文件密钥，第二个参数可指定当密钥文件不存在时创建一组公钥私钥。

var prv = new TokenProvider();

// 加载或生成密钥
var rs = prv.ReadKey("keys/test.prvkey", true);
Assert.True(rs);
Assert.True(File.Exists("keys/test.prvkey".GetFullPath()));
Assert.True(File.Exists("keys/test.pubkey".GetFullPath()));
Assert.NotEmpty(prv.Key);

私钥由验证服务器自己保存，公钥分发到各应用服务器中。

签发令牌

为了让令牌足够短小，数据部分只有一个user字符串和有效期时间戳，user可以是用户名，也可以是设备编号。魔方OAuthServer使用了TokenProvider，平稳工作多年。

var prv = new TokenProvider();
// 加载或生成密钥
prv.ReadKey("keys/test.prvkey", true);

// 生成令牌
var user = Rand.NextString(8);
var time = DateTime.Now.AddHours(2);
var token = prv.Encode(user, time);

Assert.NotEmpty(token);
var data = token.Substring(null, ".").ToBase64().ToStr();
Assert.Equal($"{user},{time.ToInt()}", data);

验证令牌

TryDecode用于解码令牌，并返回验证是否成功

// 解码令牌
var prv2 = new TokenProvider();
prv2.ReadKey("keys/test.pubkey", false);
var rs2 = prv2.TryDecode(token, out var user2, out var time2);

Assert.True(rs2);
Assert.Equal(user, user2);
Assert.Equal(time.Trim(), time2.Trim());

令牌防篡改

故意破坏令牌，把数据部分用户名改为其它账号，时间戳和签名不变，得到的新令牌无法通过应用服务器公钥的签名验证。这就让令牌具有了防篡改能力。

// 破坏数据
token = $"Stone,{time.ToInt()}".GetBytes().ToUrlBase64() + "." + token.Substring(".");
var rs3 = prv2.TryDecode(token, out var user3, out var time3);

Assert.False(rs3);
Assert.NotEqual(user, user3);
Assert.Equal(time.Trim(), time3.Trim());

总结

在JWT大行其道的今天，数字签名令牌仍然具有很多使用场景。JWT令牌实在太长了，HS256有密钥安全问题，RS256/ES256在实现上又有较高难度，它的数据部分对于非web场景显得过份臃肿！

Web通用令牌JwtBuilder

分布式数字签名令牌TokenProvider