ASP.NET WebApi 基于JWT实现Token签名认证

一、前言

开发提供数据的WebApi服务，最重要的是数据的安全性。那么对于我们来说，如何确保数据的安全将会是需要思考的问题。在ASP.NET WebService服务中可以通过SoapHead验证机制来实现，那么在ASP.NET WebApi中我们应该如何保证我们的接口安全呢？这次给大家分享一种基于JWT方式解决方案。

1.1、本次分享包含知识点如下：

1）、对ASP.NET WebApi 如何实现身份认证进一步了解和学习。

2）、掌握.NET中的JWT组件的基本运用。

3）、.NET开源轻量级HTTP网络请求框架RestSharp在ASP.NET WebApi中的基本运用。

4）、ASP.NET WebAPI自定义HTTP参数绑定支持多参数POST请求。（强烈推荐）

5）、ASP.NET WebApi 基于JWT实现Token签名认证。

1.2、一句话总结：今天我们要解决的问题？

ASP.NET WebAPI如何保证客户端以安全的方式进行访问。

废话不多说，直接上干货，我们不生产干货，我们只是干货的搬运

二、概念名称含义介绍

2.1、什么是JWT？

JSON Web Token (JWT)是一个开放标准(RFC 7519)，它定义了一种紧凑的、自包含的方式，用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任，因为它是数字签名的。

2.2、JWT长什么样？

JWT是由三段信息构成的，将这三段信息文本用.链接一起就构成了Jwt字符串。

JWT结构体

2.3、JWT的构成

第一部分我们称它为头部（header),第二部分我们称其为载荷（payload,)，第三部分是签证（signature).

Header

header典型的由两部分组成：token的类型（“JWT”）和算法名称（比如：HMAC SHA256或者RSA等等）。

例如：

 　　}

　　JWT结构Header

然后，用Base64对这个JSON编码就得到JWT的第一部分

Payload

JWT的第二部分是payload，它包含声明（要求）。声明是关于实体(通常是用户)和其他数据的声明。

声明有三种类型: registered, public 和 private。

Registered claims : 这里有一组预定义的声明，它们不是强制的，但是推荐。比如：iss (issuer), exp (expiration time), sub (subject), aud (audience)等。

Public claims : 可以随意定义。

Private claims : 用于在同意使用它们的各方之间共享信息，并且不是注册的或公开的声明。

下面是一个例子：

　　}

对payload进行Base64编码就得到JWT的第二部分

注意，不要在JWT的payload或header中放置敏感信息，除非它们是加密的。

Signature

为了得到签名部分，你必须有编码过的header、编码过的payload、一个秘钥，签名算法是header中指定的那个，然对它们签名即可。例如：HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)签名是用于验证消息在传递过程中有没有被更改，并且，对于使用私钥签名的token，它还可以验证JWT的发送方是否为它所称的发送方。 

三、WebApi基于JWT实现Token签名认证原理讲解

3.1、ASP.NET WebAPI如何保证客户端以安全的方式进行访问

ASP.NET WebAPI 如何保证接口的安全？先说一下何为安全？我们需要解决什么问题？

调用安全:由于WebService是暴露在公网中，怎么防止非法用户调用我们的服务呢？因此我们需要解决：认证问题。

数据传输安全:由于我们的数据都是通过明文在网络上进行传输很容易被窃取到。因此我们需要解决:数据被窃取问题。

以上解释仅仅是阿笨狭义的理解；网络安全还包括很多方面，会话劫持、会话被篡改等等。

总结:我们可以通过Token验证机制来保证WebAPI 的认证使用；可以通过HTTPS来保证数据的加密，防止网络侦听！

基于JWT实现Token签名认证原理图

3.2、基于JWT实现Token签名认证基本思路如下：

基本流程上是这样的：

●用户使用用户名密码来请求服务器。

●服务器进行验证用户的信息。

●服务器通过验证发送给用户一个token。

●客户端存储token，并在每次请求时附送上这个token值。

●服务端验证token值，并返回数据。

四、实战源码在线实例演示

登录

基于JWT实现Token签名认证

五、总结

本次分享课程《ASP.NET WebApi 基于JWT实现Token签名认证》阿笨给大家分享了在写开放的WebAPI接口时是如何保证数据的安全性的？在此总结一下需要注意的几点事项：

一、JTW注意事项： 

1）、不应该在jwt的payload部分存放敏感信息，因为该部分是客户端可解密的部分。

2）、保护好secret私钥，该私钥非常重要。

3）、如果可以，请使用https协议。

注意：secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

二、JWT具备的优势特点如下：

1）、安全性比较高，加上密匙加密而且支持多种算法。

2）、携带的信息是自定义的，而且可以做到验证token是否过期。

3）、验证信息可以由前端保存，后端不需要为保存token消耗内存。

俗话说的好：师父领进门修行在个人，希望大家在学习的道路上一直坚持下去！