JWT token认证

本文主要讲述两方面的内容

• 1JSON Web Token（JWT）的介绍说明
• 2 JSON Web Token（JWT）在C#中的使用

JSON Web Token（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑的、自包含的方式，用于网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT传递的信息可以被验证和信任，因为它是数字签名的。JWTs可以使用一个秘密（使用HMAC算法）或使用RSA或ECDSA的公钥/私钥对来签名

什么时候应该使用JSON Web Token？

下面是一些JSON Web令牌有用的场景：
授权：这是使用JWT的最常见场景。一旦用户登录，每个后续的请求都将包括JWT，允许用户访问该令牌允许的路由、服务和资源。单点登录是目前广泛使用JWT的一个特性，因为它的开销很小，而且可以很容易地在不同的项目领域中使用。
信息交换：JSON Web令牌是在各方之间安全地传输信息的一种很好的方式。因为JWTs可以被签署——例如，使用公钥/私钥对——您可以确定发送者是他们所说的他们。此外，由于签名是使用头和有效负载计算的，所以您还可以验证内容没有被篡改。

JSON Web Token的组成

JSON Web令牌由由点(.)分隔的三个部分组成：

• 1 Header
• 2 Payload
• 3 Signature

因此，JWT通常看起来是这样的。
xxxxx.yyyyy.zzzzz
让我们分解不同的部分。

• Header
  头信息通常包含两部分，type：代表token的类型，这里使用的是JWT类型。 alg:使用的Hash算法，例如HMAC SHA256或RSA.
  例如:
  {
  :“alg HS256”,
  :“typ JWT”
  }
  然后，这个JSON是Base64Url编码，以形成JWT的第一部分。
• Payload
  第二个部分是荷载信息，它包含一些声明Claim(实体的描述，通常是一个User信息，还包括一些其他的元数据)
• signature
  jwt的第三部分是一个签证信息，这个签证信息由三部分组成：
  header (base64后的)
  payload (base64后的)
  secret
  这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。

C#生成JSON Web Token

安装NuGet包 System.IdentityModel.Tokens.Jwt

System.IdentityModel.Tokens.Jwt

          DateTime UTC = DateTime.UtcNow;
            Claim[] claims = new Claim[]
            {
                new Claim(JwtRegisteredClaimNames.Sub,tokenModel.Sub),//Subject,
                new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),//JWT ID,JWT的唯一标识
                new Claim(JwtRegisteredClaimNames.Iat, UTC.ToString(), ClaimValueTypes.Integer64),
                  //Issued At，JWT颁发的时间，采用标准unix时间，用于验证过期
            };
            JwtSecurityToken jwt = new JwtSecurityToken(
            issuer: "凌云木",//jwt签发者,非必须
            audience: tokenModel.Uname,//jwt的接收该方，非必须
            claims: claims,//声明集合
            expires: UTC.AddHours(12),//指定token的生命周期，unix时间戳格式,非必须
            signingCredentials: new Microsoft.IdentityModel.Tokens
                .SigningCredentials(new SymmetricSecurityKey(
Encoding.ASCII.GetBytes("My Secret Key")), SecurityAlgorithms.HmacSha256));
            var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);   

C#生成JSON Web Token 的第二种方式：

安装NuGet包JWT

JWT.Net

• 生成Token

var payload = new Dictionary<string, object>
{
    { "claim1", 0 },
    { "claim2", "claim2-value" }
};
const string secret = "GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk";

IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
IJsonSerializer serializer = new JsonNetSerializer();
IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);

var token = encoder.Encode(payload, secret);
Console.WriteLine(token);

• 解析Token

const string token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJjbGFpbTEiOjAsImNsYWltMiI6ImNsYWltMi12YWx1ZSJ9.8pwBI_HtXqI3UgQHQ_rDRnSQRxFL1SR8fbQoS-5kM5s";
const string secret = "GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk";

try
{
   IJsonSerializer serializer = new JsonNetSerializer();
   IDateTimeProvider provider = new UtcDateTimeProvider();
   IJwtValidator validator = new JwtValidator(serializer, provider);
   IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
   IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder);
   
   var json = decoder.Decode(token, secret, verify: true);
   Console.WriteLine(json);
}
catch (TokenExpiredException)
{
   Console.WriteLine("Token has expired");
}
catch (SignatureVerificationException)
{
   Console.WriteLine("Token has invalid signature");
}