1. JWT的基本概念
JWT是一個用來在系統之間傳遞安全訊息的開放標準(RFC 7519)。它由三部分組成:頭部(Header)、載荷(Payload)、簽名(Signature),並且是以Base64編碼的方式進行傳遞。JWT通常應用於身份驗證和授權過程中。
2. 安裝JWT的NuGet套件
首先,在ASP.NET Core專案中,我們需要安裝與JWT相關的NuGet套件:
dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer
這個套件提供了JWT的身份驗證處理邏輯。
3. 配置JWT認證
在Startup.cs中,我們需要配置JWT認證的相關設置:
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidIssuer = "yourdomain.com",
ValidAudience = "yourdomain.com",
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key"))
};
});
services.AddControllers();
}
這段代碼配置了JWT的基本驗證參數,包括發行者(Issuer)、受眾(Audience)以及用於驗證Token的密鑰。
4. 生成JWT Token
接下來,我們需要編寫生成JWT Token的邏輯,通常會放在登入驗證成功後的回應中:
public string GenerateJwtToken(string userName)
{
var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key"));
var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);
var claims = new[]
{
new Claim(JwtRegisteredClaimNames.Sub, userName),
new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString())
};
var token = new JwtSecurityToken(
issuer: "yourdomain.com",
audience: "yourdomain.com",
claims: claims,
expires: DateTime.Now.AddMinutes(30),
signingCredentials: credentials
);
return new JwtSecurityTokenHandler().WriteToken(token);
}
這段代碼用於生成一個有效的JWT Token,並將其回傳給客戶端。
5. 保護API端點
要讓API端點只允許經過JWT認證的用戶訪問,我們可以在控制器或動作方法上添加[Authorize]屬性:
[Authorize]
[HttpGet("secure-data")]
public IActionResult GetSecureData()
{
return Ok("This is a secured API endpoint");
}
使用這個屬性,未經認證的用戶將無法訪問該API端點。
6. 測試JWT認證
當用戶登錄並獲取JWT Token後,可以將該Token附加到後續的API請求中作為Authorization標頭:
GET /secure-data HTTP/1.1
Host: yourdomain.com
Authorization: Bearer <your-jwt-token>
伺服器會驗證這個Token的有效性,並允許訪問安全的API資源。
7. 小結
JWT為應用提供了一種輕量、安全且靈活的身份驗證方式。在ASP.NET Core中,透過簡單的配置即可輕鬆實作JWT認證,保障API的安全訪問。這樣的認證機制對於保護敏感數據和授權使用者行為至關重要。