在 .NET 8.0 中实现 JWT 刷新令牌

介绍

在 Web 开发领域，安全是重中之重。JSON Web Tokens (JWT) 已成为在各方之间安全传输信息的热门选择。然而，在 JWT 过期后，如何维护用户会话并避免频繁登录至关重要。这正是 JWT 刷新令牌应运而生的地方。

在本文中，我们将指导您在 .NET 8.0 环境中实现 JWT 刷新令牌。我们将通过完整的示例介绍每个步骤，以确保清晰地理解整个过程。

JWT 和刷新令牌

JSON Web Tokens (JWT) 由三部分组成：标头、有效负载和签名。它们经过数字签名以验证其真实性，并包含声明，这些声明是关于实体（用户）和其他数据的声明。JWT 具有到期时间 (exp)，到期后将被视为无效。刷新令牌用于在原始令牌到期后获取新的 JWT，而无需用户重新输入其凭据。

设置.NET项目

让我们使用 JWT 和刷新令牌创建一个简单的身份验证系统。

首先，确保您已安装必要的包（System.IdentityModel.Tokens.Jwt 和 Microsoft.AspNetCore.Authentication.JwtBearer）。

模型

创建两个模型来表示登录请求和包含令牌的响应。

// LoginModel.cs
public class LoginModel
{
public string Username { get; set; }
public string Password { get; set; }
}

// TokenResponse.cs
public class TokenResponse
{
public string AccessToken { get; set; }
public string RefreshToken { get; set; }
}

授权控制器

创建一个负责处理身份验证和令牌生成的 AuthController。

[ApiController]
[Route("[controller]")]
public class AuthController : ControllerBase
{
private readonly IConfiguration _config;
private readonly IUserService _userService;

    public AuthController(IConfiguration config, IUserService userService)
{
_config = config;
_userService = userService;
}

    [HttpPost("login")]
public IActionResult Login(LoginModel loginModel)
{
// Authenticate user
var user = _userService.Authenticate(loginModel.Username, loginModel.Password);

        if (user == null)
return Unauthorized();

        // Generate tokens
var accessToken = TokenUtils.GenerateAccessToken(user, _config["Jwt:Secret"]);
var refreshToken = TokenUtils.GenerateRefreshToken();

        // Save refresh token (for demo purposes, this might be stored securely in a database)
// _userService.SaveRefreshToken(user.Id, refreshToken);

        var response = new TokenResponse
{
AccessToken = accessToken,
RefreshToken = refreshToken
};

        return Ok(response);
}

    [HttpPost("refresh")]
public IActionResult Refresh(TokenResponse tokenResponse)
{
// For simplicity, assume the refresh token is valid and stored securely
// var storedRefreshToken = _userService.GetRefreshToken(userId);

        // Verify refresh token (validate against the stored token)
// if (storedRefreshToken != tokenResponse.RefreshToken)
//    return Unauthorized();

        // For demonstration, let's just generate a new access token
var newAccessToken = TokenUtils.GenerateAccessTokenFromRefreshToken(tokenResponse.RefreshToken, _config["Jwt:Secret"]);

        var response = new TokenResponse
{
AccessToken = newAccessToken,
RefreshToken = tokenResponse.RefreshToken // Return the same refresh token
};

        return Ok(response);
}
}

Token Utility

创建一个实用程序类 TokenUtils 来处理令牌的生成和验证。

public static class TokenUtils
{
public static string GenerateAccessToken(User user, string secret)
{
var tokenHandler = new JwtSecurityTokenHandler();
var key = Encoding.ASCII.GetBytes(secret);

        var tokenDescriptor = new SecurityTokenDescriptor
{
Subject = new ClaimsIdentity(new[] { new Claim("id", user.Id.ToString()) }),
Expires = DateTime.UtcNow.AddMinutes(15), // Token expiration time
SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
};

        var token = tokenHandler.CreateToken(tokenDescriptor);
return tokenHandler.WriteToken(token);
}

    public static string GenerateRefreshToken()
{
var randomNumber = new byte[32];
using var rng = RandomNumberGenerator.Create();
rng.GetBytes(randomNumber);
return Convert.ToBase64String(randomNumber);
}

    public static string GenerateAccessTokenFromRefreshToken(string refreshToken, string secret)
{
// Implement logic to generate a new access token from the refresh token
// Verify the refresh token and extract necessary information (e.g., user ID)
// Then generate a new access token

        // For demonstration purposes, return a new token with an extended expiry
var tokenHandler = new JwtSecurityTokenHandler();
var key = Encoding.ASCII.GetBytes(secret);

        var tokenDescriptor = new SecurityTokenDescriptor
{
Expires = DateTime.UtcNow.AddMinutes(15), // Extend expiration time
SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
};

        var token = tokenHandler.CreateToken(tokenDescriptor);
return tokenHandler.WriteToken(token);
}
}

用户服务（示例）

为了演示目的，这里有一个提供用户身份验证的简单 UserService。

public interface IUserService
{
User Authenticate(string username, string password);
// void SaveRefreshToken(int userId, string refreshToken);
// string GetRefreshToken(int userId);
}

public class UserService : IUserService
{
private readonly List<User> _users = new List<User>
{
new User { Id = 1, Username = "user1", Password = "password1" }
};

    public User Authenticate(string username, string password)
{
var user = _users.SingleOrDefault(x => x.Username == username && x.Password == password);
return user;
}

    // For demo purposes - methods to save and retrieve refresh tokens
}

用户模型（示例）

创建一个简单的用户模型。

public class User
{
public int Id { get; set; }
public string Username { get; set; }
public string Password { get; set; }
}

启动配置

在您的 Startup.cs 中，配置 JWT 身份验证。

public void ConfigureServices(IServiceCollection services)
{
// ...

    var secret = Configuration["Jwt:Secret"];
var key = Encoding.ASCII.GetBytes(secret);

    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = false,
ValidateAudience = false,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(key)
};
});

    // ...
}

重要提示

这是一个用于演示的基本实现。在生产环境中，您应该增强安全性，安全地处理令牌存储，并实现适当的验证和错误处理。
为了更好的安全性，请考虑使用 IdentityServer4 库或其他成熟的身份验证解决方案。

结论

在 .NET 8.0 中实现 JWT 刷新令牌涉及配置身份验证中间件、在身份验证时生成令牌以及根据需要刷新过期令牌。此过程允许无缝令牌更新，而无需用户重复登录，从而增强了安全性。

记住要安全地处理令牌存储并实施适当的验证逻辑，以确保身份验证系统的安全性和完整性。

如果您喜欢此文章，请收藏、点赞、评论，谢谢，祝您快乐每一天。