14

分布式数字签名令牌TokenProvider

 3 years ago
source link: https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA%3D%3D&%3Bmid=2654082599&%3Bidx=1&%3Bsn=10abb9e37602de02b09f7fbbdbea4489
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

在分布式系统中,令牌签发系统往往需要跟令牌应用系统分离,并且应用系统可以独立验证令牌,无需请求签发系统接口。

数字签名令牌属于发明专利 《基于令牌协议的令牌组网构建方法》 (已授权专利号 201510213377.X )的一部分,设计于2013年!

在物联网平台中,设备验证服务器以及设备接入服务器是分开的,并且有很多接入服务器。验证服务器签发的令牌,可用于多台接入服务器。

功能特性

主要功能特性:

  1. DSA数字签名提供安全,默认1024位,最高4096位;

  2. 应用系统独立验证令牌,无需请求签发系统的接口;

  3. 令牌短小,一般在80字符以内,降低嵌入式设备的内存消耗以及网络传输量;

  4. 支持物联网设备使用,常见几十块钱的民用设备或更高的工业设备;

应用场景

工作流程

6fQjai2.png!mobile

物联网设备联网后,首先前往验证系统进行设备有效性验证,获取令牌,即可携带令牌访问各应用服务器。

令牌具有有效期,一般2小时过期。应用服务器遇到过期令牌时,应该拒绝提供服务,设备将再次访问验证系统获取新令牌。

对于长连接通信的物联网设备,仅在连接建立的时候使用一次令牌验证身份,后续通信无需再次验证令牌,即使超过了有效期。除非网络中断需要重新建立TCP长连接。

示例详解

Nuget引用包 NewLife.Core

源码:https://github.com/NewLifeX/X/blob/master/NewLife.Core/Web/TokenProvider.cs

生成密钥

ReadKey方法用于读取文件密钥,第二个参数可指定当密钥文件不存在时创建一组公钥私钥。

var prv = new TokenProvider();
// 加载或生成密钥
var rs = prv.ReadKey("keys/test.prvkey", true);
Assert.True(rs);
Assert.True(File.Exists("keys/test.prvkey".GetFullPath()));
Assert.True(File.Exists("keys/test.pubkey".GetFullPath()));
Assert.NotEmpty(prv.Key);

私钥由验证服务器自己保存,公钥分发到各应用服务器中。

签发令牌

为了让令牌足够短小,数据部分只有一个user字符串和有效期时间戳,user可以是用户名,也可以是设备编号。魔方OAuthServer使用了TokenProvider,平稳工作多年。

var prv = new TokenProvider();
// 生成令牌
var user = Rand.NextString(8);
var time = DateTime.Now.AddHours(2);
var token = prv.Encode(user, time);
Assert.NotEmpty(token);
var data = token.Substring(null, ".").ToBase64().ToStr();
Assert.Equal($"{user},{time.ToInt()}", data);

验证令牌

TryDecode用于解码令牌,并返回验证是否成功

// 解码令牌
var prv2 = new TokenProvider();
prv2.ReadKey("keys/test.pubkey", false);
var rs2 = prv2.TryDecode(token, out var user2, out var time2);
Assert.True(rs2);
Assert.Equal(user, user2);
Assert.Equal(time.Trim(), time2.Trim());

令牌防篡改

故意破坏令牌,把数据部分用户名改为其它账号,时间戳和签名不变,得到的新令牌无法通过应用服务器公钥的签名验证。这就让令牌具有了防篡改能力。

// 破坏数据
token = $"Stone,{time.ToInt()}".GetBytes().ToUrlBase64() + "." + token.Substring(".");
var rs3 = prv2.TryDecode(token, out var user3, out var time3);
Assert.False(rs3);
Assert.NotEqual(user, user3);
Assert.Equal(time.Trim(), time3.Trim());

总结

在JWT大行其道的今天,数字签名令牌仍然具有很多使用场景。JWT令牌实在太长了,HS256有密钥安全问题,RS256/ES256在实现上又有较高难度,它的数据部分对于非web场景显得过份臃肿!


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK