前言
总而言之,言而总之,我们如何使用ASP.NET WEB API来创建一个RESFULL风格的WEB API并且进行JWT授权登录呢?
在这之前,我们必须要知道,什么才是JWT,为什么要使用它。
JWT 是什么?
JWT,全称(JSON WEB TOKEN),是一种基于JSON无状态的授权令牌,同时也是一种标准的数据传输规范。
JWT 构成?
JWT由三部分的组成,分别是:header 头部、payload 荷载、signature 签证 。
header 头部
这部分主要的声明JWT的类型以及加密方式;格式如下:
{
'typ': 'JWT',//声明类型 jwt
'alg': 'HS256'//声明加密算法 HMAC SHA256
}
在JWT中会由两种方式进行加密,分别是HMAC、SHA256,这里使用的是SHA256进行加密。
payload 荷载
这部分的信息可以理解为类似于飞机上的荷载物品。包含三个方面的数据:
标准中注册的声明
iss: jwt签发者;
sub: jwt所面向的用户;
aud: 接收jwt的一方;
exp: jwt的过期时间,这个过期时间必须要大于签发时间;
nbf: 定义在什么时间之前,该jwt都是不可用的;
iat: jwt的签发时间;
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击;
公共的声明
一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密。
私的声明
提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
格式如下:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
signature 签证
需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。
JWT 需要注意的哪些地方?
注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。