.NET 8药物警戒应用中基于MySQL的JWT认证与RBAC安全实现技术咨询
2026-4-13
.NET 8药物警戒应用中基于MySQL的JWT认证与RBAC安全实现技术咨询
看起来你正在搭建一个涉及敏感医疗数据的药物警戒系统,这类场景下安全、合规和权限管控是核心要求,我来针对你的问题逐一梳理行业最佳实践:
问题1:是否要在User表添加Token和RefreshToken列,还是仅返回JWT给客户端?
首先明确两个token的定位:
- JWT(Access Token):本身是无状态的,设计目的就是由客户端存储(推荐用HttpOnly Secure Cookie,而非localStorage),不需要存入数据库。因为JWT的有效性可以通过签名直接验证,无需查询数据库,这也是无状态认证的优势。
- Refresh Token:必须持久化存储,但绝对不要存在User表中。因为一个用户可能在多设备登录,User表的单字段无法存储多个有效refresh token,而且不利于管理token的生命周期(比如失效、撤销)。
建议单独创建一个RefreshTokens表,用来存储每个用户的所有有效refresh token,表结构至少包含:用户ID、refresh token值、过期时间、创建时的IP、是否被撤销、替换它的新token等字段。这样既能支持多设备,也能方便地做token撤销、过期校验等操作。
问题2:多设备场景下如何安全实现Refresh Token?
多设备登录的核心是给每个设备分配独立的refresh token,并能独立管理它们的生命周期,具体做法如下:
- 每个设备生成唯一的Refresh Token:用户在新设备登录时,生成全新的refresh token,存入
RefreshTokens表,关联用户ID和设备相关信息(比如用户代理、登录IP)。 - 短有效期Access Token + 长有效期Refresh Token:设置Access Token有效期为15-30分钟(降低token泄露后的风险),Refresh Token有效期为7-30天(平衡安全性和用户体验)。
- 刷新Token时的流程:
- 客户端用refresh token请求新的access token
- 后端先验证refresh token是否存在、未过期、未被撤销
- 验证通过后,生成新的access token和新的refresh token
- 将旧的refresh token标记为“已撤销”,并记录替换它的新token
- 把新的refresh token存入数据库,返回新的access token给客户端
- 支持用户主动撤销:提供“退出所有设备”的功能,将该用户的所有未过期refresh token标记为已撤销。
- 安全存储Refresh Token:后端返回refresh token时,不要放在响应体里,而是存入HttpOnly、Secure、SameSite=Strict的Cookie中,避免XSS攻击窃取token。
问题3:MySQL存储敏感医疗数据结合JWT认证的最佳实践
医疗数据属于高度敏感信息,必须严格遵循合规要求,结合JWT的最佳实践如下:
1. 数据存储安全
- 静态加密:
- 启用MySQL的透明数据加密(TDE),对整个数据库文件加密,防止物理存储泄露。
- 对敏感列(比如用户邮箱、医疗相关报告数据)使用列级加密,比如用MySQL的
AES_ENCRYPT()函数,密钥不要硬编码在代码里,存在专门的密钥管理服务(KMS)中。
- 传输加密:所有客户端与MySQL的连接必须启用SSL/TLS,避免数据在传输过程中被窃取。
- 最小权限原则:EF Core使用的数据库账号只分配必要的CRUD权限,不要给超级管理员权限,降低数据泄露风险。
2. JWT认证安全
- 使用非对称加密签名:不要用HS256对称加密,改用RS256非对称加密。私钥存在后端服务器,公钥用来验证token签名,即使公钥泄露也无法伪造token。
- JWT Payload最小化:只在payload中存储必要信息(比如用户ID、角色、邮箱),绝对不要放敏感数据(比如密码、医疗记录)。
- Token过期与撤销:除了设置短有效期,还要支持主动撤销token(比如用户修改密码后,立即撤销所有该用户的refresh token)。
3. RBAC权限管控
- 基于ASP.NET Core Identity的角色和声明系统:给不同角色(Doctor、Nurse、Pharmacovigilance Specialist)分配不同的权限,比如:
- Doctor/Nurse:仅能提交不良事件报告
- Pharmacovigilance Specialist:可以审核、修改、查看所有报告
- 细粒度权限控制:如果需要更细的权限,可以自定义权限声明(比如
CanEditReport、CanViewAllReports),再给角色分配对应的声明。 - 操作审计:记录所有敏感操作(登录、提交报告、修改数据)的审计日志,包括用户ID、操作时间、操作内容,存入单独的
AuditLogs表,且日志不可修改,用于合规审计。
代码优化示例(结合你的现有实现)
首先定义RefreshToken实体:
public class RefreshToken { public int Id { get; set; } public string UserId { get; set; } = string.Empty; public string Token { get; set; } = string.Empty; public DateTime Expires { get; set; } public DateTime Created { get; set; } = DateTime.UtcNow; public string? CreatedByIp { get; set; } public DateTime? Revoked { get; set; } public string? RevokedByIp { get; set; } public string? ReplacedByToken { get; set; } public bool IsActive => !IsExpired && !IsRevoked; public bool IsExpired => DateTime.UtcNow >= Expires; public bool IsRevoked => Revoked != null; }
修改登录方法,加入refresh token存储:
public async Task<UserResponseDTO> LoginUserAsync(LoginUserDto userDto, string ipAddress) { var savedUser = await _identityManager.CheckCredentialsAsync(userDto.Email!, userDto.Password); if (savedUser is null) throw new Exception("Invalid credentials"); // 生成Access Token和Refresh Token var accessToken = await _jwtTokenGenerator.GenerateToken(savedUser); var refreshToken = _jwtTokenGenerator.GenerateRefreshToken(); // 填充refresh token元数据并存库 refreshToken.CreatedByIp = ipAddress; refreshToken.UserId = savedUser.Id; _context.RefreshTokens.Add(refreshToken); await _context.SaveChangesAsync(); return new UserResponseDTO { Id = savedUser.Id, UserName = savedUser.UserName!, Email = savedUser.Email!, UserRole = savedUser.UserRole!, Token = accessToken // 注意:Refresh Token建议通过HttpOnly Cookie返回,不要放在响应体 }; }
备注:内容来源于stack exchange,提问作者Jabel Resendiz
