通過.NET 6實現(xiàn)RefreshToken

更新時間：2022年01月11日 08:56:03 作者：CODE4NOTHING

當(dāng)獲取到的Token過期以后，我們必須要重新請求認證接口以獲取新的Token，為了提升用戶體驗，我們一般會利用Refresh Token功能，本文將具體為大家介紹一下如何實現(xiàn)Refresh Token，感興趣的可以學(xué)習(xí)一下

需求

在上一篇文章使用.NET 6實現(xiàn)基于JWT的Identity功能中，我們演示了如何使用.NET框架的Identity組件實現(xiàn)基于JWT Token的認證和授權(quán)功能。我們可以想象一下場景：當(dāng)獲取到的Token過期以后，我們必須要重新請求認證接口以獲取新的Token，在實際的應(yīng)用中，表現(xiàn)出來就是雖然當(dāng)前用戶一直在進行業(yè)務(wù)的操作，但是到了一個固定的時間點后，就會要求用戶重新登陸一次來獲取新Token，這對用戶的體驗是非常不友好的。所以我們引出了本文將要介紹的Refresh Token的概念。

那么我們?yōu)槭裁匆欢ㄐ枰粋€Refresh Token而不是將Token的過期時間設(shè)置的長一點呢？最主要的原因是如果這個長期的Token一旦被暴露，那么即使我們修改登錄密碼，也無法阻止已經(jīng)被暴露的Token被用來訪問我們受保護的API資源，只能等到這個Token自己過期。所以我們希望設(shè)置一個短時間有效的Token，當(dāng)客戶端Token失效后，服務(wù)端將會返回一個Token過期的響應(yīng)，那么此時客戶端就可以攜帶這個已過期的Token和服務(wù)器之前簽發(fā)的一次性的Refresh Token去服務(wù)端換取一個新的Token和一個新的一次性Refresh Token?？蛻舳司涂梢栽诓恍枰匦碌顷懙那闆r下攜帶這個新的Token去訪問后端資源，同時也將Token暴露的影響降低了。

目標(biāo)

為TodoList實現(xiàn)Refresh Token功能。

原理與思路

為了實現(xiàn)Refresh Token功能，我們需要做這幾件事：

在用戶請求Token時同時創(chuàng)建一個Refresh Token返回給客戶端；
修改認證服務(wù)，使其能夠從已過期的Token中獲取用戶的Principal數(shù)據(jù)；
創(chuàng)建一個refresh token的API接口用于響應(yīng)客戶端的獲取新Token的邏輯。

實現(xiàn)

使ApplicationUser支持RefreshToken

ApplicationUser.cs

using Microsoft.AspNetCore.Identity;

namespace TodoList.Infrastructure.Identity;

public class ApplicationUser : IdentityUser
{
    public string? RefreshToken { get; set; }
    public DateTime RefreshTokenExpiryTime { get; set; }
}

運行Migration使修改生效。

修改CreateToken簽名使其同時返回Refresh Token

新建創(chuàng)建Token返回的響應(yīng)體對象ApplicationToken：

ApplicationToken.cs

namespace TodoList.Application.Common.Models;

public record ApplicationToken(string AccessToken, string RefreshToken);

修改接口定義

Task<ApplicationToken> CreateTokenAsync(bool populateExpiry);

并對應(yīng)修改實現(xiàn)：

IdentityService.cs

public async Task<ApplicationToken> CreateTokenAsync(bool populateExpiry)
{
    var signingCredentials = GetSigningCredentials();
    var claims = await GetClaims();
    var tokenOptions = GenerateTokenOptions(signingCredentials, claims);
    var refreshToken = GenerateRefreshToken();

    User!.RefreshToken = refreshToken;
    if(populateExpiry)
        User!.RefreshTokenExpiryTime = DateTime.Now.AddDays(7);
    await _userManager.UpdateAsync(User);

    var accessToken = new JwtSecurityTokenHandler().WriteToken(tokenOptions);

    return new ApplicationToken(accessToken, refreshToken);
}
private string GenerateRefreshToken()
{
    // 創(chuàng)建一個隨機的Token用做Refresh Token
    var randomNumber = new byte[32];

    using var rng = RandomNumberGenerator.Create();
    rng.GetBytes(randomNumber);

    return Convert.ToBase64String(randomNumber);
}

修改login方法

AuthenticationController.cs

[HttpPost("login")]
public async Task<IActionResult> Authenticate([FromBody] UserForAuthentication userForAuthentication)
{
    if (!await _identityService.ValidateUserAsync(userForAuthentication))
    {
        return Unauthorized();
    }

    var token = await _identityService.CreateTokenAsync(true);
    return Ok(token);
}

到目前為止，我們已經(jīng)為應(yīng)用程序添加了Refresh Token所需要的一些基礎(chǔ)功能了，接下來就需要實現(xiàn)一個refresh token接口用于換取新的Token

實現(xiàn)refresh token接口

我們新建一個Action用于refresh token接口。

AuthenticationController.cs

[HttpPost("refresh")]
public async Task<IActionResult> Refresh([FromBody] ApplicationToken token)
{
    var tokenToReturn = await _identityService.RefreshTokenAsync(token);
    return Ok(tokenToReturn);
}

實現(xiàn)refresh token功能

我們在認證服務(wù)中添加Controller中調(diào)用的方法

IIdentityService.cs

Task<ApplicationToken> RefreshTokenAsync(ApplicationToken token);

并實現(xiàn)接口方法：

IdentityService.cs

// 省略其他...
public async Task<ApplicationToken> RefreshTokenAsync(ApplicationToken token)
{
    var principal = GetPrincipalFromExpiredToken(token.AccessToken);

    var user = await _userManager.FindByNameAsync(principal.Identity?.Name);
    if (user == null || user.RefreshToken != token.RefreshToken || user.RefreshTokenExpiryTime <= DateTime.Now)
    {
        throw new BadHttpRequestException("provided token has some invalid value");
    }

    User = user;
    return await CreateTokenAsync(true);
}

private ClaimsPrincipal GetPrincipalFromExpiredToken(string token)
{
    // 根據(jù)已過期的Token獲取用戶相關(guān)的Principal數(shù)據(jù)，用來生成新的Token
    var jwtSettings = _configuration.GetSection("JwtSettings");
    var tokenValidationParameters = new TokenValidationParameters {
        ValidateAudience = true,
        ValidateIssuer = true,
        ValidateIssuerSigningKey = true,
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Environment.GetEnvironmentVariable("SECRET") ?? "TodoListApiSecretKey")), ValidateLifetime = true,
        ValidIssuer = jwtSettings["validIssuer"],
        ValidAudience = jwtSettings["validAudience"]
    };

    var tokenHandler = new JwtSecurityTokenHandler();
    var principal = tokenHandler.ValidateToken(token, tokenValidationParameters, out var securityToken);
    if (securityToken is not JwtSecurityToken jwtSecurityToken || 
        !jwtSecurityToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256, StringComparison.InvariantCultureIgnoreCase))
    {
        throw new SecurityTokenException("Invalid token");
    }

    return principal;
}

接下來我們就可以驗證refresh token的功能了。

驗證

啟動Api項目，首先我們獲取Token：

可以看到同時返回了refresh token。

然后我們請求refresh token接口：

獲取到了一個新的Access Token和一個新的refresh token。

接下來使用新獲取到的access token去請求創(chuàng)建TodoList：

可以看到新的access token是可以用來作為認證和授權(quán)的憑證請求接口的。

總結(jié)

在本文中我們實現(xiàn)了關(guān)于refresh token的功能，在實際應(yīng)用中，客戶端程序可能需要根據(jù)原始Token中payload里的exp字段去判斷是否將要過期，提前請求refresh token，以實現(xiàn)用戶無感知的持續(xù)攜帶有效的token去請求后端API資源。

到此這篇關(guān)于通過.NET 6實現(xiàn)RefreshToken的文章就介紹到這了,更多相關(guān).NET 6 RefreshToken內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: