在 .NET 8.0 中实现 JWT 刷新令牌

原创 于 2025-08-27 09:27:00 发布 · 559 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#.NET8 #JWT

介绍

在 Web 开发领域,安全是重中之重。JSON Web Tokens (JWT) 已成为在各方之间安全传输信息的热门选择。然而,在 JWT 过期后,如何维护用户会话并避免频繁登录至关重要。这正是 JWT 刷新令牌应运而生的地方。

在本文中,我们将指导您在 .NET 8.0 环境中实现 JWT 刷新令牌。我们将通过完整的示例介绍每个步骤,以确保清晰地理解整个过程。

JWT 和刷新令牌

JSON Web Tokens (JWT) 由三部分组成:标头、有效负载和签名。它们经过数字签名以验证其真实性,并包含声明,这些声明是关于实体(用户)和其他数据的声明。JWT 具有到期时间 (exp),到期后将被视为无效。刷新令牌用于在原始令牌到期后获取新的 JWT,而无需用户重新输入其凭据。

设置.NET项目

让我们使用 JWT 和刷新令牌创建一个简单的身份验证系统。

首先,确保您已安装必要的包(System.IdentityModel.Tokens.Jwt 和 Microsoft.AspNetCore.Authentication.JwtBearer)。

模型

创建两个模型来表示登录请求和包含令牌的响应。

// LoginModel.cs
public class LoginModel
{
    public string Username { get; set; }
    public string Password { get; set; }
}

// TokenResponse.cs
public class TokenResponse
{
    public string AccessToken { get; set; }
    public string RefreshToken { get; set; }
}

授权控制器

创建一个负责处理身份验证和令牌生成的 AuthController。

[ApiController]
[Route("[controller]")]
public class AuthController : ControllerBase
{
    private readonly IConfiguration _config;
    private readonly IUserService _userService;

    public AuthController(IConfiguration config, IUserService userService)
    {
        _config = config;
        _userService = userService;
    }

    [HttpPost("login")]
    public IActionResult Login(LoginModel loginModel)
    {
        // Authenticate user
        var user = _userService.Authenticate(loginModel.Username, loginModel.Password);

        if (user == null)
            return Unauthorized();

        // Generate tokens
        var accessToken = TokenUtils.GenerateAccessToken(user, _config["Jwt:Secret"]);
        var refreshToken = TokenUtils.GenerateRefreshToken();

        // Save refresh token (for demo purposes, this might be stored securely in a database)
        // _userService.SaveRefreshToken(user.Id, refreshToken);

        var response = new TokenResponse
        {
            AccessToken = accessToken,
            RefreshToken = refreshToken
        };

        return Ok(response);
    }

    [HttpPost("refresh")]
    public IActionResult Refresh(TokenResponse tokenResponse)
    {
        // For simplicity, assume the refresh token is valid and stored securely
        // var storedRefreshToken = _userService.GetRefreshToken(userId);

        // Verify refresh token (validate against the stored token)
        // if (storedRefreshToken != tokenResponse.RefreshToken)
        //    return Unauthorized();

        // For demonstration, let's just generate a new access token
        var newAccessToken = TokenUtils.GenerateAccessTokenFromRefreshToken(tokenResponse.RefreshToken, _config["Jwt:Secret"]);

        var response = new TokenResponse
        {
            AccessToken = newAccessToken,
            RefreshToken = tokenResponse.RefreshToken // Return the same refresh token
        };

        return Ok(response);
    }
}

Token Utility

创建一个实用程序类 TokenUtils 来处理令牌的生成和验证。

public static class TokenUtils
{
    public static string GenerateAccessToken(User user, string secret)
    {
        var tokenHandler = new JwtSecurityTokenHandler();
        var key = Encoding.ASCII.GetBytes(secret);

        var tokenDescriptor = new SecurityTokenDescriptor
        {
            Subject = new ClaimsIdentity(new[] { new Claim("id", user.Id.ToString()) }),
            Expires = DateTime.UtcNow.AddMinutes(15), // Token expiration time
            SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
        };

        var token = tokenHandler.CreateToken(tokenDescriptor);
        return tokenHandler.WriteToken(token);
    }

    public static string GenerateRefreshToken()
    {
        var randomNumber = new byte[32];
        using var rng = RandomNumberGenerator.Create();
        rng.GetBytes(randomNumber);
        return Convert.ToBase64String(randomNumber);
    }

    public static string GenerateAccessTokenFromRefreshToken(string refreshToken, string secret)
    {
        // Implement logic to generate a new access token from the refresh token
        // Verify the refresh token and extract necessary information (e.g., user ID)
        // Then generate a new access token

        // For demonstration purposes, return a new token with an extended expiry
        var tokenHandler = new JwtSecurityTokenHandler();
        var key = Encoding.ASCII.GetBytes(secret);

        var tokenDescriptor = new SecurityTokenDescriptor
        {
            Expires = DateTime.UtcNow.AddMinutes(15), // Extend expiration time
            SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
        };

        var token = tokenHandler.CreateToken(tokenDescriptor);
        return tokenHandler.WriteToken(token);
    }
}

用户服务(示例)

为了演示目的,这里有一个提供用户身份验证的简单 UserService。

public interface IUserService
{
    User Authenticate(string username, string password);
    // void SaveRefreshToken(int userId, string refreshToken);
    // string GetRefreshToken(int userId);
}

public class UserService : IUserService
{
    private readonly List<User> _users = new List<User>
    {
        new User { Id = 1, Username = "user1", Password = "password1" }
    };

    public User Authenticate(string username, string password)
    {
        var user = _users.SingleOrDefault(x => x.Username == username && x.Password == password);
        return user;
    }

    // For demo purposes - methods to save and retrieve refresh tokens
}

用户模型(示例)

创建一个简单的用户模型。

public class User
{
    public int Id { get; set; }
    public string Username { get; set; }
    public string Password { get; set; }
}

启动配置

在您的 Startup.cs 中,配置 JWT 身份验证。

public void ConfigureServices(IServiceCollection services)
{
    // ...

    var secret = Configuration["Jwt:Secret"];
    var key = Encoding.ASCII.GetBytes(secret);

    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options =>
        {
            options.TokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuer = false,
                ValidateAudience = false,
                ValidateLifetime = true,
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = new SymmetricSecurityKey(key)
            };
        });

    // ...
}

重要提示

这是一个用于演示的基本实现。在生产环境中,您应该增强安全性,安全地处理令牌存储,并实现适当的验证和错误处理。
为了更好的安全性,请考虑使用 IdentityServer4 库或其他成熟的身份验证解决方案。

结论

在 .NET 8.0 中实现 JWT 刷新令牌涉及配置身份验证中间件、在身份验证时生成令牌以及根据需要刷新过期令牌。此过程允许无缝令牌更新,而无需用户重复登录,从而增强了安全性。

记住要安全地处理令牌存储并实施适当的验证逻辑,以确保身份验证系统的安全性和完整性。

如果您喜欢此文章,请收藏、点赞、评论,谢谢,祝您快乐每一天。

.Net Core webapi 实现JWT认证
Ray
01-17 752
.net core webapi 实现jwt权限认证
ASP.Net MVC登录及授权
m0_46704355的博客
04-16 364
在OnApplicationInitialization里添加鉴权和授权。
.NET 实现 JWT 登录验证
qq_45798312的博客
04-15 1898
本篇博文通过一个简单的案例,介绍了如何使用 C# .NET 实现 JWT 登录验证,并处理用户信息的加密、刷新 Token、各种验证规则等功能。
.Net Core WebApi集成JWT实现身份认证
刘城的博客
01-17 2941
为什么使用JWTJWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。适用于多客户端的前后端解决方案,JWT 是无状态化的,更适用于 RESTful 风格的接口验证。本文主要介绍使用JWT进行接口身份认证。 一.准备工作 (1).添加NuGet程序包 Microsoft.AspNetCore.Authe...
.net core 生成jwt+swagger-通过 IHttpContextAccessor读取token信息
qq_41942413的博客
12-23 1054
在一个.NET Core应用程序中,通常使用身份验证和授权来验证用户并控制他们对资源的访问。当用户进行身份验证后,他们通常会收到一个包含有关其身份的信息的令牌(token),例如访问令牌(access token)或身份令牌(identity token)。这些令牌一般包含在HTTP请求的标头(header)中,例如Authorization标头。在.NET Core应用程序中,HttpContext中的User属性会包含与已验证用户相关的信息,而这些信息通常也包括从令牌中提取的声明(claims)。
ASP.NET Core WebAPI中使用JWT Bearer认证和授权
dotNET跨平台
12-15 3575
为什么是 JWT BearerASP.NET Core 在 Microsoft.AspNetCore.Authentication 下实现了一系列认证, 包含 Cooki...
ASP.NET Core 使用 JWT 自定义角色/策略授权需要实现的接口
hailang2ll的专栏
10-12 2212
点击上方“dotNET名人堂”,选择“”用学习的姿态,步入工作的状态目录① 存储角色/用户所能访问的 API② 实现 IAuthorizationRequirement ...
【转】ASP.NET Core 实战:基于 Jwt Token 的权限控制全揭露
new Girl的博客
07-26 576
【转】https://www.cnblogs.com/danvic712/p/10331976.html?tdsourcetag=s_pcqq_aiomsg ASP.NET Core 实战:基于 Jwt Token 的权限控制全揭露 一、前言# 在涉及到后端项目的开发中,如何实现对于用户权限的管控是需要我们首先考虑的,在实际开发过程中,我们可能会运用一些已经成熟的解决方案帮助我们实现这一功...
7..NET 8 实战--孢子记账--从单体到微服务】--用户(登录/注册/Token)
喵叔
09-09 982
该文章介绍了一个面向用户的项目开发,首先梳理了服务端的需求,如登录、注册、找回密码、用户查询和管理等功能。接着,创建了用户类SysUser并通过 EF Core 映射到数据库,完成数据迁移。然后详细讲解了如何创建用户服务和 Web API 接口,处理注册、登录和找回密码等操作,包括密码的加盐哈希处理和生成 JWT Token。最终,通过依赖注入,将这些服务集成到项目中,确保了用户数据的安全性和系统的扩展性。
ASP.NET Core 8.0 JWT 示例代码
04-27
本文将详细介绍如何在ASP.NET Core 8.0中使用JSON Web Tokens (JWT)来实现一个安全的用户认证和授权系统。 JSON Web Tokens(JWT)是一种开放标准(RFC 7519),它定义了一种简洁的、URL安全的方式,用于在各方之间...
dotNET Core Web API+JWT(Bearer Token)认证+Swagger UI
qq_35904166的博客
11-28 7966
1、创建.net core web api项目: Create a Web API with ASP.NET Core and Visual Studio 按照上面链接创建项目。 2、添加JWT(Bearer Token)认证 在项目的Startup.cs文件中的ConfigureServices方法添加以下代码添加并配置JWT认证: //添加jwt验证:serv...
.NET 8 中身份的新增功能
Dotnet Technology Blog
03-03 1415
与以前版本的身份 UI 不同的是,除非您想要自定义它,否则它是隐藏的,该模板会生成所有源代码,以便您可以根据需要对其进行修改。对于我们的基本示例,我们将仅使用默认的用户信息和数据库。此外,我们还能够为 Blazor Web 应用程序添加新的身份 UI,该应用程序可与新的渲染模式、服务器和 WebAssembly 配合使用。然后,根据您是否已通过身份验证,您将看到您的姓名或一条表明您未通过身份验证的消息。用户信息端点是安全的,因此如果用户未经身份验证,请求将失败,并且该方法将返回未经身份验证的状态。
工业自动化中PLC与MCGS在小型水厂恒压供水系统中的应用设计 - 工业自动化 指南
08-26
内容概要:本文介绍了基于S7-200 PLC与MCGS组态软件的小型水厂恒压供水系统设计,通过PLC作为核心控制单元,结合压力传感器、水泵及管网,实现供水压力的自动调节。系统采用梯形图与指令表混合编程方式,依据实时压力数据动态调整水泵运行数量与转速,确保供水稳定并实现节能降耗。实际案例表明,该系统显著提升了供水稳定性并降低了能耗。 适合人群:从事工业自动化、水利系统设计、PLC编程及相关工程应用的工程师和技术人员,具备一定PLC与自动化基础知识的1-3年经验研发人员。 使用场景及目标:适用于小型水厂、社区供水系统等需要恒压供水的场景,目标是实现供水压力稳定、节能运行、自动化控制,并提升系统可靠性与经济效益。 阅读建议:结合S7-200 PLC编程实践与MCGS组态软件操作,重点关注控制逻辑设计、传感器信号处理及节能算法实现,建议配合实际系统调试加深理解。
Java源码-ssm635政府项目管理平台+vue+前后分离毕设项目(完整项目).zip
08-26
本项目是基于Java源码的ssm635政府项目管理平台,采用前后分离架构,前端使用Vue框架,后端基于SSM(Spring、SpringMVC、MyBatis)技术栈开发。项目旨在为政府机构提供高效的项目管理解决方案,涵盖项目申报、审批、进度跟踪、资源分配、文档管理等功能模块。通过前后分离的设计,提升了系统的可维护性和用户体验。项目支持多角色权限管理,确保数据安全与操作规范。开发此项目的目的是为了满足政府项目管理的实际需求,提高工作效率,实现信息化管理。毕设项目源码常年开发定制更新,希望对需要的同学有帮助。
钢结构规范讲座.ppt
08-26
钢结构规范讲座.ppt
一汽大众汽车有限公司涂装相关污染物终端治理方案的探索.pdf
最新发布
08-26
一汽大众汽车有限公司涂装相关污染物终端治理方案的探索.pdf
基于二次近似的双层进化算法附Matlab代码.rar
08-26
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行。
新能源电力系统中三相光伏并网逆变器的MATLAB仿真与LCL滤波技术应用 - 光伏并网逆变器 宝典
08-26
内容概要:本文介绍了一个完整的光伏PV三相并网逆变器MATLAB仿真模型,涵盖光伏阵列、MPPT控制、Boost升压电路、三相桥式逆变、坐标变换、锁相环(PLL)、dq解耦控制、双闭环PI控制及SPWM调制技术,并采用LCL滤波器实现并网电流的高效滤波。通过仿真验证了系统在稳定直流母线电压、精确跟踪电网相位、快速响应功率突变等方面的优异性能。 适合人群:具备电力电子、新能源发电或自动控制基础,从事光伏逆变器设计、仿真与控制策略研究的工程师及高校研究生。 使用场景及目标:①掌握MPPT扰动观察法与Boost电路协同工作原理;②理解dq变换、锁相环与解耦控制在并网逆变中的实现机制;③设计与优化LCL滤波器参数以抑制高频谐波;④实现三相并网逆变器的稳定、高效仿真与控制。 阅读建议:结合MATLAB/Simulink环境动手搭建模型,重点调试MPPT算法、PI控制器参数与LCL阻尼设计,关注动态响应与稳态精度的平衡。
Java源码-ssm716基于web的山东红色旅游信息管理系统的设计与实现+jsp+前后分离毕设项目(完整项目).zip
08-26
本项目是基于Java源码的ssm716项目,实现了一个基于web的山东红色旅游信息管理系统。系统采用前后分离架构,前端使用jsp技术,后端依托ssm框架(Spring、SpringMVC、MyBatis)进行开发。主要功能包括红色旅游景点信息管理、游客信息登记、旅游路线规划、在线预约服务以及后台数据统计分析等模块。项目旨在通过信息化手段,提升山东红色旅游资源的展示和管理效率,方便游客获取相关信息,同时为管理者提供便捷的数据管理工具。系统设计注重用户体验和功能实用性,支持多角色权限管理,确保数据安全与操作规范。毕设项目源码常年开发定制更新,希望对需要的同学有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

csdn_aspnet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值