.NET Core WebAPI JWT 认证详解

"这篇文档详细介绍了ASP.NET Core WebAPI中使用JWT（JSON Web Token）进行身份认证的方法，提供了一种非主流但更灵活的实现方式。文档涵盖了从配置、定义配置类到实现加密解密接口的整个流程。" 在ASP.NET Core WebAPI中，JWT是一种常用的认证机制，它允许客户端通过携带安全令牌来访问受保护的API资源。JWT包含三部分：头部（Header）、负载（Payload）和签名（Signature），并且可以在不借助服务器状态的情况下验证用户身份。 1. **配置JWT**： 在`appsettings.json`中，需要添加JWT的相关配置，包括发行者（Issuer）、受众（Audience）、秘钥（SecretKey）用于签名，生命周期（Lifetime）定义令牌的有效时间，以及是否验证生命周期（ValidateLifetime）等。此外，还可以设置头字段（HeadField）和令牌前缀（Prefix），并定义一组忽略验证的URL（IgnoreUrls）。 2. **定义配置类**： 创建一个内部类`JwtConfig`，用于封装`appsettings.json`中的配置信息。这个类包含了所有与JWT相关的属性，如`Issuer`、`Audience`、`SecretKey`等，并提供了对应的getter和setter方法。 3. **实现加密解密接口**： 设计一个名为`IJwt`的接口，包含`GenerateToken`和`VerifyToken`两个方法，分别用于生成和验证JWT。生成方法需要接收用户信息和配置对象作为参数，返回JWT字符串；验证方法则接受请求头和配置对象，判断令牌是否有效。 4. **创建Token**： 在特定的Controller中，如`AuthController`，创建一个`GetToken`方法，用于处理用户登录并发放JWT。这个方法会检查用户凭据，如果验证成功，就使用`IJwt`接口生成JWT并返回给客户端。 5. **中间件实现**： ASP.NET Core中的中间件（Middleware）负责在每个请求中检查JWT。创建一个自定义中间件，它会在每个请求开始时读取请求头，查找带有前缀的JWT，然后使用`IJwt`接口验证该令牌。如果验证失败或者令牌不在忽略验证的URL列表中，中间件将拒绝请求并返回相应的错误信息。 6. **异常处理**： 当JWT验证失败时，应返回合适的HTTP状态码（如401未经授权）以及错误信息，以便客户端能够正确处理这种情况。 7. **刷新和撤销Token**： JWT通常具有固定的生命周期，过期后需要重新获取。可以设计API端点允许用户刷新令牌，同时，为了安全，还应提供撤销令牌的功能，一旦用户登出或令牌被撤销，服务器需要能够标记这些令牌为无效。 8. **扩展性和安全性**： 为了提高系统的灵活性和安全性，可以考虑使用不同的密钥进行签名，或者启用JWT的黑名单功能，当令牌被撤销时将其加入黑名单，从而增强系统对恶意行为的防护能力。 通过这种方式，开发者可以更自由地管理和控制JWT的生成和验证过程，同时保持了ASP.NET Core的可扩展性。这不仅简化了认证流程，还提供了对特定需求的定制能力。