摘要：

本文演示如何向有效用戶提供jwt，以及如何在webapi中使用該token通過JwtBearerMiddleware中間件對用戶進行身份認證。

認證和授權區別？

首先我們要弄清楚認證（Authentication）和授權（Authorization）的區別，以免混淆了。認證是確認的過程中你是誰，而授權圍繞是你被允許做什么，即權限。顯然，在確認允許用戶做什么之前，你需要知道他們是誰，因此，在需要授權時，還必須以某種方式對用戶進行身份驗證。

什么是JWT？

根據維基百科的定義，JSON WEB Token（JWT），是一種基于JSON的、用于在網絡上聲明某種主張的令牌（token）。JWT通常由三部分組成：頭信息（header），消息體（payload）和簽名（signature）。

頭信息指定了該JWT使用的簽名算法:

HS256表示使用了HMAC-SHA256來生成簽名。

消息體包含了JWT的意圖：

未簽名的令牌由base64url編碼的頭信息和消息體拼接而成（使用"."分隔），簽名則通過私有的key計算而成：

最后在未簽名的令牌尾部拼接上base64url編碼的簽名（同樣使用"."分隔）就是JWT了：

JWT常常被用作保護服務端的資源（resource），客戶端通常將JWT通過HTTP的Authorization header發送給服務端，服務端使用自己保存的key計算、驗證簽名以判斷該JWT是否可信：

準備工作

使用vs2019創建webapi項目，并且安裝nuget包

Startup類

ConfigureServices 添加認證服務

Configure 配置認證中間件

創建一個token

添加一個登錄model命名為LoginInput

添加一個認證控制器命名為AuthenticateController

添加api資源

利用默認的控制器WeatherForecastController

• 添加個Authorize標簽
• 路由調整為：[Route("api/[controller]")] 代碼如下

到此所有的代碼都已經準好了，下面進行運行測試

運行項目

使用postman進行模擬

輸入url:https://localhost:44364/api/weatherforecast

發現返回時401未認證，下面獲取token

通過用戶和密碼獲取token

如果我們的憑證正確，將會返回一個token和過期日期，然后利用該令牌進行訪問

利用token進行請求

ok，最后發現請求狀態200！

總結

以上就是這篇文章的全部內容了，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，謝謝大家對服務器之家的支持。

原文鏈接：https://www.cnblogs.com/chengtian/p/11927663.html