一.TWT的缺点
JWT把用户信息保存到客户端,而不像Session那样在服务器端保存状态,因此更加适合分布式系统及前后端分离项目,但任何技术都不是完美的。缺点是一旦 JWT 被发放给客户端,在有效期内这个令牌就一直有效,令牌是无法被提前撤回的。哪些场景会需要在 JWT 过期之间提前撤回令牌呢?比如,用户被删除了,那么针对这个用户的令牌就要被撤回,否则会出现客户端使用已经被删除的用户身份的问题;再如,某个 JWT 被恶意攻击者拿到并用来发送恶意请求,我们也要撤回针对这个用户的令牌,以便阻断攻击者;再如,用户在 A设备上登录了,稍后又在B设备上登录了,我们就需要把用户在 A设备上登录获得的 JWT 撤回,否则就会出现用户同时在多个设备上登录的问题。
上面提到的这些需求其实用传统的Session 实现更合适,因为这些需求都是和“服务器端保持状态”相关的,而 JWT 是一种服务器端无状态的机制。如果既要用 JWT,又要解决过和服务器端保持状态相关的问题,显然是缘木求鱼。不过考虑到 JWT 已经成为现在新的事实上的标准,如果项目不能改为用传统 Session 机制的话,我们就仍然需要寻找JWT下的实现方式。网上有很多解决方案,比如用 Redis 保存状态,或者用 refresh_token+access_token 机制等。
我这是另一个解决方案,解决方案的思路是:在用户表中增加一个整数类型的列 JWTVersion,它代表最后 一 次发放出去的令牌的版本号;每次登录、发放令牌的时候,我们都让 JWTVersion 的值自增,
同时将 JWTVersion 的值也放到 JWT的负载中;当执行禁用用户、撤回用户的令牌等操作的时 候,我们让这个用户对应的JWTVersion 的值自增;当服务器端收到客户端提交的JWT后,先把JWT 中的 JWTVersion 值和数据库中的 JWTVersion 值做比较,如果JWT中JWTVersion的 值小于数据库中 JWTVersion 的值,就说明这个 JWT 过期了,这样我们就实现了 JWT 的撤回 机制。由于我们在用户表中保存了 JWTVersion 值,因此这种方案本质上仍然是在服务器端保 存状态,这是绕不过去的,只不过这种方案是一种缺点比较少的妥协方案。
二.JWT的实例
之前写的Identity项目
MyRole实体类
MyUser实体类
MyDbContext类
DemoController类
基于之前的代码做下边的项目
第一步:为用户实体User类增加一个 long类型的属性JWTVersion,并且执行数据库迁移,以便在数据库表中增加对应的列。
第二步:修改登录并发方令牌的代码,把用户的JWTVersion属性的值自增,并且把JWTVersion的值写入JWT令牌。
加进去自定义的令牌之所以后边加上//!!是为了取分这是在之前项目上后加的代码
第三步:编写一个操作筛选器,统一实现对所有的控制器的操作方法中JWT令牌的检查操作。
public class JWTValidationFilter : IAsyncActionFilter
{
private IMemoryCache memCache;
private UserManager<User> userMgr;
public JWTValidationFilter(IMemoryCache memCache, UserManager<User> userMgr)
{
this. memCache =memCache ;
this:aBerMgr=userMgr;
}
//自动生成的方法
public asyne Task OnActionExecutionAsync(ActionExecutingContext context, NetionExecutionDelegate next)
{
//如果取出的返回值为null,那么await next();的作用是把请求转给下一个筛选器
var claimUserId=context.HttpContext.User.Findfirst(ClaimTypos.NameIdentifi);
if (claimUserId==null)
{
await next();
return;
}
long userId = long.Parse(claimUserId!.Value);
//这4行代码的作用是把用户信息保存在内存缓存中
string cacheKey = $"JWTValidationFilter.UserInfo.(userId)";
User user = await memCache.GetOrCreateAsync(cacheKey, asyne e=> {
e.AbsoluteExpirationRelativeToNow = TimeSpan.FromSeconda(5);
return await userMgr.FindByIdAsync(userId.ToString());
});
//表示无法通过JWT提供的用户ID查找用户信息,就说明这个用户可能已经被删除了
if(user = null)
{
var result = new ObjectResultis($"UserId(userId)) not found")i;
result.StatusCode =(int)HttpStatuaCode.Unauthorized;
context.Result = result!;
return;
}
//表示我们从JWT负载中取到客户端保存的JWT版本号,如果发现个数据库中保存的JWT版本号不匹配,就说明这个令牌被回收了。
var claimVersion = context.HtEpContext.User.FindFirsti(ClaimTypes.Version);
long jwtVerOfReq = long.Parse(claimVersion!.Value) ;
if(jwtVerOfReq>=user.JWTVersion)
{
await next();
else
{
var result = new Objecthesultis($"JWTVersion miamatch");
result.StatusCode = (int)HttpStatusCode.Unauthorized;
context.Result = result;
return;
}
}
}
第四步.把JWTValidationFilter注册到Program.cs中MVC的全局筛选器中。
三.JWT和Session的比较
