.NET Core WebAPI JWT 认证深度解析

“本文详细介绍了如何在.NET Core WebAPI中实现JWT（JSON Web Token）认证，提供了一种非主流但更灵活的方式，将获取和验证token的过程分离，并将相关配置存储在config中。” 在.NET Core WebAPI中，JWT认证是一种常见的安全机制，用于保护API接口免受未经授权的访问。JWT自身包含了所有必要的用户信息，如用户ID、角色等，且通过签名确保数据不可篡改。以下是使用JWT认证的关键步骤和关键知识点： 1. **配置JWT参数**： - `Issuer`：发行者，通常是你自己的服务标识。 - `Audience`：受众，即接收并验证JWT的服务。 - `SecretKey`：用于加密和解密JWT的密钥，必须保密。 - `Lifetime`：JWT的有效期，以分钟为单位。 - `ValidateLifetime`：是否验证JWT的生命周期。 - `HeadField`：自定义的头部字段名称。 - `Prefix`：JWT token在HTTP头部中的前缀。 - `IgnoreUrls`：一组不受JWT验证的URL，如获取token的接口。 2. **创建配置类**： 如上所述，配置信息应封装在一个类中，方便在代码中使用。`JwtConfig`类包含了所有的JWT相关设置，如`Issuer`, `Audience`, `SecretKey`等属性，这使得配置易于管理和修改。 3. **生成Token**： 在.NET Core中，可以使用`System.IdentityModel.Tokens.Jwt`库来创建JWT。在特定的Controller中，根据请求的数据（如用户名和密码）验证用户身份，然后生成JWT。JWT包含三个部分：Header、Payload（有效载荷）和Signature。Payload中可以放置用户信息，如ID，有效期等，签名则由Header和Payload加上SecretKey加密得到。 4. **验证Token**： 验证过程通常在中间件中完成，检查每个请求的HTTP头部，看是否包含有效的JWT。如果`ValidateLifetime`设置为true，还需要检查JWT是否过期。忽略URL列表允许在某些情况下跳过验证，例如获取新token的请求。 5. **中间件实现**： 使用.NET Core的Middleware机制，可以创建一个专门的JWT验证中间件，它在每个请求进入时检查JWT的有效性。如果验证失败，可以返回错误响应，阻止请求继续处理。 6. **安全注意事项**： - JWT的SecretKey必须安全存储，防止泄露。 - JWT不应包含敏感信息，因为它们可能在网络传输中被拦截。 - 考虑定期刷新JWT，以降低被盗用的风险。 - 对于长期有效的JWT，可以考虑使用刷新令牌（Refresh Token）策略，当JWT过期时，用户可以通过刷新令牌获取新的JWT。 7. **API设计**： API应有一个特定的端点（如 `/Auth/GetToken`），用于用户登录并获取JWT。其他受保护的API端点则需要有效的JWT才能访问。 总结来说，.NET Core WebAPI结合JWT认证提供了安全的API访问控制，通过分离获取和验证token的逻辑，可以实现更灵活的认证策略。理解和正确实现这些步骤，有助于构建一个安全且易于管理的API服务。