转载请注入出处： https://home.cnblogs.com/u/zhiyong-ITNote/

dotnet core中提供了一个新的身份验证框架Identity，它不同于dot net下的身份验证。在这个框架里面，有一个生成token的功能，也就是我们常说的令牌，令牌的作用有哪些？

Token值介绍

token 值: 登录令牌.利用 token 值来判断用户的登录状态.类似于 MD5 加密之后的长字符串.

用户登录成功之后,在后端(服务器端)会根据用户信息生成一个唯一的值.这个值就是 token 值.

基本使用:

在服务器端(数据库)会保存这个 token 值,以后利用这个 token 值来检索对应的用户信息,并且判断用户的登录状态.

用户登录成功之后,服务器会将生成的 token 值返回给 客户端,在客户端也会保存这个 token 值.(一般可以保存在 cookie 中,也可以自己手动确定保存位置(比如偏好设置.)).

以后客户端在发送新的网络请求的时候,会默认自动附带这个 token 值(作为一个参数传递给服务器.).服务器拿到客户端传递的 token 值跟保存在 数据库中的 token 值做对比,以此来判断用户身份和登录状态.

判断登录状态:

如果客户端没有这个 token 值,意味着没有登录成功过,提示用户登录.

如果客户端有 token 值,一般会认为登录成功.不需要用户再次登录(输入账号和密码信息).

token 值扩展:

token 值有失效时间:

一般的 app ,token值得失效时间都在 1 年以上.

特殊的 app :银行类 app /支付类 app :token值失效时间 15 分钟左右.

一旦用户信息改变(密码改变),会在服务器生成新的 token 值,原来的 token值就会失效.需要再次输入账号和密码,以得到生成的新的 token 值.

唯一性判断: 每次登录,都会生成一个新的token值.原来的 token 值就会失效.利用时间来判断登录的差异性.

至此也就说完了其作用。那么Identity框架是如何为我们提供这个能力的呢？我们又该如何使用呢？首先请你看下 asp.net core中的数据保护模块，这是Identity框架实现token的基础。

var token = await userManager.GenerateUserTokenAsync(user, "Default", "passwordless-auth");

我们通过这句代码来生成token，userManager是Identity框架的用户管理类UserManager的实例对象。

当然首先我们需要实现相关的依赖注入，我就不说了。Identity默认生成的token是基于DataProtectorTokenProvider类的，我们在依赖注入的时候，其实就引用了这个类，先看下AddDefaultTokenProviders的源码：

public static IdentityBuilder AddDefaultTokenProviders(this IdentityBuilder builder){var userType = builder.UserType;var dataProtectionProviderType = typeof(DataProtectorTokenProvider<>).MakeGenericType(userType);var phoneNumberProviderType = typeof(PhoneNumberTokenProvider<>).MakeGenericType(userType);var emailTokenProviderType = typeof(EmailTokenProvider<>).MakeGenericType(userType);var authenticatorProviderType = typeof(AuthenticatorTokenProvider<>).MakeGenericType(userType);return builder.AddTokenProvider(TokenOptions.DefaultProvider, dataProtectionProviderType).AddTokenProvider(TokenOptions.DefaultEmailProvider, emailTokenProviderType).AddTokenProvider(TokenOptions.DefaultPhoneProvider, phoneNumberProviderType).AddTokenProvider(TokenOptions.DefaultAuthenticatorProvider, authenticatorProviderType);}

然后我们看下DataProtectorTokenProvider类的部分源码：

public class DataProtectorTokenProvider
      
        : IUserTwoFactorTokenProvider
       
         where TUser : class{/// 
        
/// Initializes a new instance of the 
          class./// 
/// 
        The system data protection provider./// 
        The configured 
        .public DataProtectorTokenProvider(IDataProtectionProvider dataProtectionProvider, IOptions
        
          options){if (dataProtectionProvider == null){throw new ArgumentNullException(nameof(dataProtectionProvider));}Options = options?.Value ?? new DataProtectionTokenProviderOptions();// Use the Name as the purpose which should usually be distinct from othersProtector = dataProtectionProvider.CreateProtector(Name ?? "DataProtectorTokenProvider"); }public virtual async Task
         
           GenerateAsync(string purpose, UserManager
          
            manager, TUser user){if (user == null){throw new ArgumentNullException(nameof(user));}var ms = new MemoryStream();var userId = await manager.GetUserIdAsync(user);using (var writer = ms.CreateWriter()){writer.Write(DateTimeOffset.UtcNow);writer.Write(userId);writer.Write(purpose ?? "");string stamp = null;if (manager.SupportsUserSecurityStamp){stamp = await manager.GetSecurityStampAsync(user);}writer.Write(stamp ?? "");}var protectedBytes = Protector.Protect(ms.ToArray());return Convert.ToBase64String(protectedBytes);}public virtual async Task
           
             ValidateAsync(string purpose, string token, UserManager
            
              manager, TUser user){try{var unprotectedData = Protector.Unprotect(Convert.FromBase64String(token));var ms = new MemoryStream(unprotectedData);using (var reader = ms.CreateReader()){var creationTime = reader.ReadDateTimeOffset();var expirationTime = creationTime + Options.TokenLifespan;if (expirationTime < DateTimeOffset.UtcNow){return false;}var userId = reader.ReadString();var actualUserId = await manager.GetUserIdAsync(user);if (userId != actualUserId){return false;}var purp = reader.ReadString();if (!string.Equals(purp, purpose)){return false;}var stamp = reader.ReadString();if (reader.PeekChar() != -1){return false;}if (manager.SupportsUserSecurityStamp){return stamp == await manager.GetSecurityStampAsync(user);}return stamp == "";}}// ReSharper disable once EmptyGeneralCatchClausecatch{// Do not leak exception}return false;}}
            
           
          
         
        
       
      

可以看到，默认的情况下，使用的就是asp.net core Data Provider生成token的。我们来看看这个DataProtectorTokenProviderOptions配置类的信息：

public class DataProtectionTokenProviderOptions{public string Name { get; set; } = "DataProtectorTokenProvider";public TimeSpan TokenLifespan { get; set; } = TimeSpan.FromDays(1);}

默认的情况下，token过期时间是一天，也就是说，如果我们需要修改过期时间的话，完全可以自己来：

services.Configure
     
      (x => x.TokenLifespan = TimeSpan.FromMinutes(15));
     

刚刚也说了，默认情况下Identity框架给我们提供的token是基于Data Protect的，那么我们可以切换另外的token提供方式。只需继承自TotpSecurityStampBasedTokenProvider<TUser>类就可以了。该类源码地址：

https://github.com/aspnet/Identity/blob/c7276ce2f76312ddd7fccad6e399da96b9f6fae1/src/Core/TotpSecurityStampBasedTokenProvider.cs#L21 该类与DataProtectorTokenProvider类一样都是继承自IUserTwoFactorTokenProvider接口来实现的，其方法都是一样的，只是该类的token生成算法不再是Data Protect中的token生成算法了，而是hash算法，因此这里也是一个可拓展点，我们还可以提供自己的想要的加密算法来生成token。

public class PasswordlessLoginTotpTokenProvider
      
        : TotpSecurityStampBasedTokenProvider
       
         where TUser : class{public override Task
        
          CanGenerateTwoFactorTokenAsync(UserManager
         
           manager, TUser user){return Task.FromResult(false);}public override async Task
          
            GetUserModifierAsync(string purpose, UserManager
           
             manager, TUser user){var email = await manager.GetEmailAsync(user);return "PasswordlessLogin:" + purpose + ":" + email;}}public static class CustomIdentityBuilderExtensions {public static IdentityBuilder AddPasswordlessLoginTotpTokenProvider(this IdentityBuilder builder){var userType = builder.UserType;var totpProvider = typeof(PasswordlessLoginTotpTokenProvider<>).MakeGenericType(userType);return builder.AddTokenProvider("PasswordlessLoginTotpProvider", totpProvider);}}public void ConfigureServices(IServiceCollection services){services.AddIdentity
            
             ().AddEntityFrameworkStores
             
              () .AddDefaultTokenProviders().AddPasswordlessLoginTotpTokenProvider(); // Add the custom token provider}var token = await userManager.GenerateUserTokenAsync( user, "PasswordlessLoginTotpProvider", "passwordless-auth");
             
            
           
          
         
        
       
      

这就是我们的使用了。在这里提一下。TotpSecurityStampBasedTokenProvider类的默认生命周期是9分钟，一旦超过9分钟，token就会变化。

大概的理了下自己接下来的实现需要用到的技术，不能为了实现而实现，而是要想清楚需要的技术，同时去学习这些技术，然后再去实现。其实这个需求是我自己加的，因为之前看官方文档的时候，对数据保护很懵逼，只知道可以用来生成token加密，却不知道实际的用途，因此自己深入研究查找资料，借鉴别人的博客来学习，还是google好啊，百度真...就不爆粗口了。

整理下自己需要实现得需求思路：

我们可以在邮箱验证的时候用到token，也可以在整个的网站中用到，第一个就先不说了，说说第二个：

我们一般可以将用户登陆之后，根据用户名什么的生成token，然后放到服务端也就是数据库了，我们给它有效期（比如连续记住我十天之类的）表示这个用户已经登录过了。那么客户端呢？也就是我们的浏览器，我们可以将cookie存入客户端浏览器，但是一旦我们关闭了浏览器那么cookie也就不存在了，因此不可行。可以存入到本地磁盘中。同时，一般来讲，网站的url都很长，一般都是将token拼接在了url里面，如果你觉得url太长了，我们可以在中间件中写入到http头部字段中，根据http头部字段。当然你可以在ActionFilter以及ResultFilter中写入http头部。

回头看看能不能整理出来一个实现，到时候再放上来代码。

参考资料：

转载请注入出处： https://home.cnblogs.com/u/zhiyong-ITNote/