系列目录
【从零开始搭建自己的.NET Core Api框架】(七)授权认证进阶篇
根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)规范。 JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。 JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。
以上是JWT的官方解释,可以看出JWT并不是一种只能权限验证的工具,而是一种标准化的数据传输规范。所以,只要是在系统之间需要传输简短但却需要一定安全等级的数据时,都可以使用JWT规范来传输。规范是不因平台而受限制的,这也是JWT做为授权验证可以跨平台的原因。
如果理解还是有困难的话,我们可以拿JWT和JSON类比:
JSON是一种轻量级的数据交换格式,是一种数据层次结构规范。它并不是只用来给接口传递数据的工具,只要有层级结构的数据都可以使用JSON来存储和表示。当然,JSON也是跨平台的,不管是Win还是Linux,.NET还是Java,都可以使用它作为数据传输形式。
该篇的主要目的是实战,所以关于JWT本身的优点,以及使用JWT作为系统授权验证的优缺点,这里就不细说了,感兴趣的可以自己去查阅相关资料。
1.1 在授权验证系统中,JWT是怎么工作的呢?
如果将JWT运用到Web Api的授权验证中,那么它的工作原理是这样的:
1)客户端向授权服务系统发起请求,申请获取“令牌”。
2)授权服务根据用户身份,生成一张专属“令牌”,并将该“令牌”以JWT规范返回给客户端
3)客户端将获取到的“令牌”放到http请求的headers中后,向主服务系统发起请求。主服务系统收到请求后会从headers中获取“令牌”,并从“令牌”中解析出该用户的身份权限,然后做出相应的处理(同意或拒绝返回资源)
可以看出,JWT授权服务是可以脱离我们的主服务系统而作为一个独立系统存在的。
1.2 令牌是什么?JWT就是令牌吗?
前面说了其实把JWT理解为一种规范更为贴切,但是往往大家把根据JWT规则生成的加密字符串也叫作JWT,还有人直接称呼JWT为令牌。本文为了阐述方便,特此做了一些区分:
1.2.1 JWT:
本文所说的JWT皆指的是JWT规范
1.2.2 JWT字符串:
本文所说的“JWT字符串”是指通过JWT规则加密后生成的字符串,它由三部分组成:Header(头部)、Payload(数据)、Signature(签名),将这三部分由‘.’连接而组成的一长串加密字符串就成为JWT字符串。
1)Header
由且只由两个数据组成,一个是“alg”(加密规范)指定了该JWT字符串的加密规则,另一个是“typ”(JWT字符串类型)。例如:
{ "alg": "HS256", "typ": "JWT" }将这组JSON格式的数据通过Base64Url格式编码后,生成的字符串就是我们JWT字符串的第一个部分。
2)Payload
由一组数据组成,它负责传递数据,我们可以添加一些已注册声明,比如“iss”(JWT字符串的颁发人名称)、“exp”(该JWT字符串的过期时间)、“sub”(身份)、“aud”(受众),除了这些,我们还可根据需要添加自定义的需要传输的数据,一般是发起请求的用户的信息。例如:
{ “iss”:
