ASP.NET Core的Data Protect(数据保护)的学习和应用
转载请注入出处: https://home.cnblogs.com/u/zhiyong-ITNote/
dotnet core中提供了一个新的身份验证框架Identity,它不同于dot net下的身份验证。在这个框架里面,有一个生成token的功能,也就是我们常说的令牌,令牌的作用有哪些?
Token值介绍
token 值: 登录令牌.利用 token 值来判断用户的登录状态.类似于 MD5 加密之后的长字符串.
用户登录成功之后,在后端(服务器端)会根据用户信息生成一个唯一的值.这个值就是 token 值.
基本使用:
在服务器端(数据库)会保存这个 token 值,以后利用这个 token 值来检索对应的用户信息,并且判断用户的登录状态.
用户登录成功之后,服务器会将生成的 token 值返回给 客户端,在客户端也会保存这个 token 值.(一般可以保存在 cookie 中,也可以自己手动确定保存位置(比如偏好设置.)).
以后客户端在发送新的网络请求的时候,会默认自动附带这个 token 值(作为一个参数传递给服务器.).服务器拿到客户端传递的 token 值跟保存在 数据库中的 token 值做对比,以此来判断用户身份和登录状态.
判断登录状态:
如果客户端没有这个 token 值,意味着没有登录成功过,提示用户登录.
如果客户端有 token 值,一般会认为登录成功.不需要用户再次登录(输入账号和密码信息).
token 值扩展:
token 值有失效时间:
一般的 app ,token值得失效时间都在 1 年以上.
特殊的 app :银行类 app /支付类 app :token值失效时间 15 分钟左右.
一旦用户信息改变(密码改变),会在服务器生成新的 token 值,原来的 token值就会失效.需要再次输入账号和密码,以得到生成的新的 token 值.
唯一性判断: 每次登录,都会生成一个新的token值.原来的 token 值就会失效.利用时间来判断登录的差异性.
至此也就说完了其作用。那么Identity框架是如何为我们提供这个能力的呢?我们又该如何使用呢?首先请你看下 asp.net core中的数据保护模块,这是Identity框架实现token的基础。
var token = await userManager.GenerateUserTokenAsync(user, "Default", "passwordless-auth");
我们通过这句代码来生成token,userManager是Identity框架的用户管理类UserManager的实例对象。
当然首先我们需要实现相关的依赖注入,我就不说了。Identity默认生成的token是基于DataProtectorTokenProvider类的,我们在依赖注入的时候,其实就引用了这个类,先看下AddDefaultTokenProviders的源码:
public static IdentityBuilder AddDefaultTokenProviders(this IdentityBuilder builder) { var userType = builder.UserType; var dataProtectionProviderType = typeof(DataProtectorTokenProvider<>).MakeGenericType(userType); var phoneNumberProviderType = typeof(PhoneNumberTokenProvider<>).MakeGenericType(userType); var emailTokenProviderType = typeof(EmailTokenProvider<>).MakeGenericType(userType); var authenticatorProviderType = typeof(AuthenticatorTokenProvider<>).MakeGenericType(userType); return builder.AddTokenProvider(TokenOptions.DefaultProvider, dataProtectionProviderType) .AddTokenProvider(TokenOptions.DefaultEmailProvider, emailTokenProviderType) .AddTokenProvider(TokenOptions.DefaultPhoneProvider, phoneNumberProviderType) .AddTokenProvider(TokenOptions.DefaultAuthenticatorProvider, authenticatorProviderType); }
然后我们看下DataProtectorTokenProvider类的部分源码:
public class DataProtectorTokenProvider<TUser> : IUserTwoFactorTokenProvider<TUser> where TUser : class { /// <summary> /// Initializes a new instance of the <see cref="DataProtectorTokenProvider{TUser}"/> class. /// </summary> /// <param name="dataProtectionProvider">The system data protection provider.</param> /// <param name="options">The configured <see cref="DataProtectionTokenProviderOptions"/>.</param> public DataProtectorTokenProvider(IDataProtectionProvider dataProtectionProvider, IOptions<DataProtectionTokenProviderOptions> options) { if (dataProtectionProvider == null) { throw new ArgumentNullException(nameof(dataProtectionProvider)); } Options = options?.Value ?? new DataProtectionTokenProviderOptions(); // Use the Name as the purpose which should usually be distinct from others Protector = dataProtectionProvider.CreateProtector(Name ?? "DataProtectorTokenProvider"); } public virtual async Task<string> GenerateAsync(string purpose, UserManager<TUser> manager, TUser user) { if (user == null) { throw new ArgumentNullException(nameof(user)); } var ms = new MemoryStream(); var userId = await manager.GetUserIdAsync(user); using (var writer = ms.CreateWriter()) { writer.Write(DateTimeOffset.UtcNow); writer.Write(userId); writer.Write(purpose ?? ""); string stamp = null; if (manager.SupportsUserSecurityStamp) { stamp = await manager.GetSecurityStampAsync(user); } writer.Write(stamp ?? ""); } var protectedBytes = Protector.Protect(ms.ToArray()); return Convert.ToBase64String(protectedBytes); } public virtual async Task<bool> ValidateAsync(string purpose, string token, UserManager<TUser> manager, TUser user) { try { var unprotectedData = Protector.Unprotect(Convert.FromBase64String(token)); var ms = new MemoryStream(unprotectedData); using (var reader = ms.CreateReader()) { var creationTime = reader.ReadDateTimeOffset(); var expirationTime = creationTime + Options.TokenLifespan; if (expirationTime < DateTimeOffset.UtcNow) { return false; } var userId = reader.ReadString(); var actualUserId = await manager.GetUserIdAsync(user); if (userId != actualUserId) { return false; } var purp = reader.ReadString(); if (!string.Equals(purp, purpose)) { return false; } var stamp = reader.ReadString(); if (reader.PeekChar() != -1) { return false; } if (manager.SupportsUserSecurityStamp) { return stamp == await manager.GetSecurityStampAsync(user); } return stamp == ""; } } // ReSharper disable once EmptyGeneralCatchClause catch { // Do not leak exception } return false; } }
可以看到,默认的情况下,使用的就是asp.net core Data Provider生成token的。我们来看看这个DataProtectorTokenProviderOptions配置类的信息:
public class DataProtectionTokenProviderOptions { public string Name { get; set; } = "DataProtectorTokenProvider"; public TimeSpan TokenLifespan { get; set; } = TimeSpan.FromDays(1); }
默认的情况下,token过期时间是一天,也就是说,如果我们需要修改过期时间的话,完全可以自己来:
services.Configure<DataProtectionTokenProviderOptions>( x => x.TokenLifespan = TimeSpan.FromMinutes(15));
刚刚也说了,默认情况下Identity框架给我们提供的token是基于Data Protect的,那么我们可以切换另外的token提供方式。只需继承自TotpSecurityStampBasedTokenProvider<TUser>类就可以了。该类源码地址:
https://github.com/aspnet/Identity/blob/c7276ce2f76312ddd7fccad6e399da96b9f6fae1/src/Core/TotpSecurityStampBasedTokenProvider.cs#L21 该类与DataProtectorTokenProvider类一样都是继承自IUserTwoFactorTokenProvider接口来实现的,其方法都是一样的,只是该类的token生成算法不再是Data Protect中的token生成算法了,而是hash算法,因此这里也是一个可拓展点,我们还可以提供自己的想要的加密算法来生成token。
public class PasswordlessLoginTotpTokenProvider<TUser> : TotpSecurityStampBasedTokenProvider<TUser> where TUser : class { public override Task<bool> CanGenerateTwoFactorTokenAsync(UserManager<TUser> manager, TUser user) { return Task.FromResult(false); } public override async Task<string> GetUserModifierAsync(string purpose, UserManager<TUser> manager, TUser user) { var email = await manager.GetEmailAsync(user); return "PasswordlessLogin:" + purpose + ":" + email; } } public static class CustomIdentityBuilderExtensions { public static IdentityBuilder AddPasswordlessLoginTotpTokenProvider(this IdentityBuilder builder) { var userType = builder.UserType; var totpProvider = typeof(PasswordlessLoginTotpTokenProvider<>).MakeGenericType(userType); return builder.AddTokenProvider("PasswordlessLoginTotpProvider", totpProvider); } } public void ConfigureServices(IServiceCollection services) { services.AddIdentity<IdentityUser, IdentityRole>() .AddEntityFrameworkStores<IdentityDbContext>() .AddDefaultTokenProviders() .AddPasswordlessLoginTotpTokenProvider(); // Add the custom token provider } var token = await userManager.GenerateUserTokenAsync( user, "PasswordlessLoginTotpProvider", "passwordless-auth");
这就是我们的使用了。在这里提一下。TotpSecurityStampBasedTokenProvider类的默认生命周期是9分钟,一旦超过9分钟,token就会变化。
大概的理了下自己接下来的实现需要用到的技术,不能为了实现而实现,而是要想清楚需要的技术,同时去学习这些技术,然后再去实现。其实这个需求是我自己加的,因为之前看官方文档的时候,对数据保护很懵逼,只知道可以用来生成token加密,却不知道实际的用途,因此自己深入研究查找资料,借鉴别人的博客来学习,还是google好啊,百度真...就不爆粗口了。
整理下自己需要实现得需求思路:
我们可以在邮箱验证的时候用到token,也可以在整个的网站中用到,第一个就先不说了,说说第二个:
我们一般可以将用户登陆之后,根据用户名什么的生成token,然后放到服务端也就是数据库了,我们给它有效期(比如连续记住我十天之类的)表示这个用户已经登录过了。那么客户端呢?也就是我们的浏览器,我们可以将cookie存入客户端浏览器,但是一旦我们关闭了浏览器那么cookie也就不存在了,因此不可行。可以存入到本地磁盘中。同时,一般来讲,网站的url都很长,一般都是将token拼接在了url里面,如果你觉得url太长了,我们可以在中间件中写入到http头部字段中,根据http头部字段。当然你可以在ActionFilter以及ResultFilter中写入http头部。
回头看看能不能整理出来一个实现,到时候再放上来代码。
参考资料:
Implementing custom token providers for passwordless authentication in ASP.NET Core Identity
Implementing Medium's Passwordless Authentication using ASP.NET Core Identity
转载请注入出处: https://home.cnblogs.com/u/zhiyong-ITNote/