独立开发者@董川民

Just So So ...

利用.NET Core中的数据保护组件实现限时Token

前言

在业务开发时,我们常常需要生成有过期时间的 Token 凭证。

比如重置密码,即使被其他人获取到链接,超过指定时间也无法操作,以保证安全性:.

利用.NET Core中的数据保护组件实现限时Token

常用的实现方式,可以使用缓存或数据库存储 Token 的过期时间。

今天,我们介绍另一种实现方式。

IDataProtector

.NET Core 中默认提供了一个数据保护组件,可以用来保护我们的数据:

首先,需要在 Startup.cs 中配置使用数据保护组件:

services.AddDataProtection();

然后,在 Controller 的构造函数中注入 IDataProtectionProvider 对象,使用 Provider 创建一个实现 IDataProtector 接口的数据保护器对象:

private readonly IDataProtector _dataProtector;
public TokenController(IDataProtectionProvider dataProtectionProvider)
{
    _dataProtector = dataProtectionProvider.CreateProtector("Token Protector");
}

然后,就可以使用ProtectUnprotect加解密数据:

[HttpGet]
[Route("Generate")]
public string Generate(string name)
{
    return _dataProtector.Protect(name);
}

[HttpGet]
[Route("Check")]
public string Check(string token)
{
    return _dataProtector.Unprotect(token);
}

利用.NET Core中的数据保护组件实现限时Token

利用.NET Core中的数据保护组件实现限时Token

ITimeLimitedDataProtector

另外,我们可以使用 IDataProtector 接口的 ToTimeLimitedDataProtector 方法创建一个带过期时间的数据保护器:

private readonly ITimeLimitedDataProtector _dataProtector;
public TokenController(IDataProtectionProvider dataProtectionProvider)
{
    _dataProtector = dataProtectionProvider.CreateProtector("Token Protector").ToTimeLimitedDataProtector();
}

然后,我们就可以在Protect中加入TimeSpan参数,指定加密数据的过期时间:

_dataProtector.Protect(name, TimeSpan.FromSeconds(5));

这样,当前 Token 的有效时间只有5秒,超期后无法解密:

利用.NET Core中的数据保护组件实现限时Token

结论

使用 ITimeLimitedDataProtector,可以很方便地生成限时 Token。

本文作者:My IO信息来源:公众号 My IO所属分类:.NET

董川民

Life is like a box of chocolates,you never know what you're going to get.
ChongQing Movie Motorcycle Website