在分布式系统中,令牌签发系统往往需要跟令牌应用系统分离,并且应用系统可以独立验证令牌,无需请求签发系统接口。

数字签名令牌属于发明专利《基于令牌协议的令牌组网构建方法》(已授权专利号201510213377.X)的一部分,设计于2013年!

在物联网平台中,设备验证服务器以及设备接入服务器是分开的,并且有很多接入服务器。验证服务器签发的令牌,可用于多台接入服务器。

Nuget包:NewLife.CoreNewLife.Secrurity

源码地址:https://github.com/NewLifeX/X/blob/master/NewLife.Core/Web/TokenProvider.cs

视频:https://www.bilibili.com/video/BV1TL4y1c7Hu

视频:https://www.bilibili.com/video/BV1SG411E7s3

功能特性

主要功能特性:

  1. DSA数字签名提供安全,默认1024位,最高4096位;
  2. 应用系统独立验证令牌,无需请求签发系统的接口;
  3. 令牌短小,一般在80字符以内,降低嵌入式设备的内存消耗以及网络传输量;
  4. 支持物联网设备使用,常见几十块钱的民用设备或更高的工业设备;

应用场景

工作流程

物联网设备联网后,首先前往验证系统进行设备有效性验证,获取令牌,即可携带令牌访问各应用服务器。

令牌具有有效期,一般2小时过期。应用服务器遇到过期令牌时,应该拒绝提供服务,设备将再次访问验证系统获取新令牌。

对于长连接通信的物联网设备,仅在连接建立的时候使用一次令牌验证身份,后续通信无需再次验证令牌,即使超过了有效期。除非网络中断需要重新建立TCP长连接。


示例详解

Nuget引用包 NewLife.Core

源码:https://github.com/NewLifeX/X/blob/master/NewLife.Core/Web/TokenProvider.cs

生成密钥

ReadKey方法用于读取文件密钥,第二个参数可指定当密钥文件不存在时创建一组公钥私钥。

var prv = new TokenProvider();

// 加载或生成密钥
var rs = prv.ReadKey("keys/test.prvkey", true);
Assert.True(rs);
Assert.True(File.Exists("keys/test.prvkey".GetFullPath()));
Assert.True(File.Exists("keys/test.pubkey".GetFullPath()));
Assert.NotEmpty(prv.Key);

私钥由验证服务器自己保存,公钥分发到各应用服务器中。

签发令牌

为了让令牌足够短小,数据部分只有一个user字符串和有效期时间戳,user可以是用户名,也可以是设备编号。魔方OAuthServer使用了TokenProvider,平稳工作多年。

var prv = new TokenProvider();
// 加载或生成密钥
prv.ReadKey("keys/test.prvkey", true);

// 生成令牌
var user = Rand.NextString(8);
var time = DateTime.Now.AddHours(2);
var token = prv.Encode(user, time);

Assert.NotEmpty(token);
var data = token.Substring(null, ".").ToBase64().ToStr();
Assert.Equal($"{user},{time.ToInt()}", data);

验证令牌

TryDecode用于解码令牌,并返回验证是否成功

// 解码令牌
var prv2 = new TokenProvider();
prv2.ReadKey("keys/test.pubkey", false);
var rs2 = prv2.TryDecode(token, out var user2, out var time2);

Assert.True(rs2);
Assert.Equal(user, user2);
Assert.Equal(time.Trim(), time2.Trim());

令牌防篡改

故意破坏令牌,把数据部分用户名改为其它账号,时间戳和签名不变,得到的新令牌无法通过应用服务器公钥的签名验证。这就让令牌具有了防篡改能力。

// 破坏数据
token = $"Stone,{time.ToInt()}".GetBytes().ToUrlBase64() + "." + token.Substring(".");
var rs3 = prv2.TryDecode(token, out var user3, out var time3);

Assert.False(rs3);
Assert.NotEqual(user, user3);
Assert.Equal(time.Trim(), time3.Trim());


总结

在JWT大行其道的今天,数字签名令牌仍然具有很多使用场景。JWT令牌实在太长了,HS256有密钥安全问题,RS256/ES256在实现上又有较高难度,它的数据部分对于非web场景显得过份臃肿!


Web通用令牌JwtBuilder

作者:大石头 发布:2023-06-22 17:23:56 浏览:2,349)