我们可以在Asp.NET Core中销毁/无效JWT令牌吗?

时间:2017-08-18 04:46:29

标签: authentication asp.net-core .net-core jwt asp.net-core-identity

我使用ASP.NET Core& ASP.NET核心标识生成JWT令牌。

在客户端,我的react(SPA)应用调用API创建令牌,然后在子请求中包含Authorization: Bearer tokenFromApi

当我想注销时,如何立即使服务器端的令牌过期?

目前我只删除了客户端的bear令牌而未包含在下一个请求中?

参考https://blogs.msdn.microsoft.com/webdev/2017/04/06/jwt-validation-and-authorization-in-asp-net-core/

Configure

Startup.cs部分的代码 
app.UseJwtBearerAuthentication(new JwtBearerOptions
{
    AutomaticAuthenticate = true,
    AutomaticChallenge = true,
    TokenValidationParameters = new TokenValidationParameters
    {
        ValidIssuer = "MySite",
        ValidAudience = "MySite",
        ValidateIssuerSigningKey = true,
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("VERYL0NGKEYV@LUETH@TISSECURE")),
        ValidateLifetime = true
    }
});

用于创建令牌的API 

[HttpPost("Token")]
public async Task<IActionResult> CreateToken([FromBody] LoginModel model)
{
    try
    {
        var user = await userManager.FindByNameAsync(model.Email);
        if (passwordHasher.VerifyHashedPassword(user, user.PasswordHash, model.Password) == PasswordVerificationResult.Success)
        {

            var claims = new[]
            {
                new Claim(JwtRegisteredClaimNames.Sub, user.UserName),
                new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
                new Claim(JwtRegisteredClaimNames.Email, user.Email)
            };

            var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("VERYL0NGKEYV@LUETH@TISSECURE"));
            var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
            var token = new JwtSecurityToken(
                "MySite",
                "MySite",
                claims,
                expires: DateTime.UtcNow.AddMinutes(45),
                signingCredentials: creds);

            return Ok(new
            {
                Token = new JwtSecurityTokenHandler().WriteToken(token),
                Expiration = token.ValidTo,
            });
        }
        return BadRequest();
    }
    catch (Exception ex)
    {
        logger.LogError(ex.ToString());
        return StatusCode((int)HttpStatusCode.InternalServerError);
    }
}

1 个答案:

答案 0 :(得分:8)

你不能轻易地让它过期,不会失去它的一些优点或使解决方案变得更加复杂。

最好的办法是让访问令牌时间足够短(&lt; = 5分钟)并且刷新令牌长时间运行。

但如果你真的想立即使它失效,你需要做一些事情:

  1. 创建令牌后缓存令牌ID,持续时间与令牌的到期时间(访问和刷新令牌)相同
  2. [If Farm / multiple instances]您需要将其缓存在分布式缓存中,例如redis
  3. [If Farm / multiple instances]你需要通过消息总线(即使用Redis,RabbitMQ或Azure消息总线)将它传播到应用程序的每个实例,这样他们就可以将它存储在本地内存缓存中(所以你不要每次要验证时都必须进行网络通话。
  4. 在授权期间,您需要验证ID是否仍在缓存中;如果没有,拒绝授权(401)
  5. 当用户注销时,您需要从缓存中删除您的项目。
  6. [If Farm / multiple instances]从分布式缓存中删除项目并向所有实例发送消息,以便他们将其从本地缓存中删除

    7. 其他不需要消息总线/可分发缓存的解决方案需要在每个请求上联系auth服务器,这将破坏JWT令牌的主要优势。

    JWT的主要优点是它们是自包含的,并且Web服务不必调用其他服务来验证它。它可以通过验证签名在本地进行验证(因为令牌不能被用户改变而无法使签名无效)和令牌所针对的到期时间/受众。

相关问题
最新问题