簡(jiǎn)單描述： session不支持 分布式 并且在服務(wù)器存儲(chǔ)一份用戶登錄的信息，這份登錄信息會(huì)在響應(yīng)時(shí)傳遞給瀏覽器，告訴其保存為cookie,以便下次請(qǐng)求時(shí)發(fā)送給我們的應(yīng)用

Jwt描述：

1.狀態(tài)保證在客戶端，而非服務(wù)器端。天然適合分布式系統(tǒng)。

2.簽名保證了客戶端無(wú)法數(shù)據(jù)造假。

3.性能更高，不需要和 中心狀態(tài)服務(wù)器通信(如Redis)，純內(nèi)存的計(jì)算

JWT是由三段信息構(gòu)成的，將這三段信息文本用.鏈接一起就構(gòu)成了Jwt字符串

第一部分我們稱它為頭部（header 明文 的加密算法類型),第二部分我們稱其為載荷（payload, 明文的各種 自定義 信息)，第三部分是簽證（signature只有服務(wù)器端才知道的密鑰).

不要在 jwt中 傳入 非常敏感 信息 ，因?yàn)榭蛻舳?可以解析 出明文

流程：服務(wù)器 生成 Jwt 頒發(fā)給 客戶端 ，每次客戶端 請(qǐng)求 帶上 Jwt，服務(wù)器端在做效驗(yàn)。

下面使用 一個(gè) 案例 來說明 JWT的使用

1.設(shè)置JWT配置實(shí)體 JWTSetting.cs 用于注入

namespace aspnetcore013
{
    public class JWTSetting
    {
public string Key { get; set; } // JWT 服務(wù)端的 key
public long OutTime { get; set; } //設(shè)置過期秒數(shù)
    }
}

2.在 appsettings.json 文件中配置如下

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*",
  "JWT": {
    "key": "xcv24fds*/*=-.lj?./54oi@%$^*ouio",
    "OutTime": 3600
  }
}

 3.1.在 Program.cs 文件中 配置 JWT配置 如下 

builder.Services.Configure<JWTSetting>(builder.Configuration.GetSection("JWT"));
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(opt =>
    {
var JWTsetting = builder.Configuration.GetSection("JWT").Get<JWTSetting>();
byte[] byteKeys = Encoding.UTF8.GetBytes(JWTsetting.Key);
var securityKey = new SymmetricSecurityKey(byteKeys);
opt.TokenValidationParameters = new TokenValidationParameters()
{
    ValidateIssuer = false,
    ValidateAudience = false,
    ValidateLifetime = true,
    ValidateIssuerSigningKey = true,
    IssuerSigningKey = securityKey
};
    });

3.2 最后 還有 在添加 app.UseAuthentication(); 需要在 app.UseAuthorization(); 之前 

app.UseAuthentication();

4.登錄成功 用于生成JWT 字符串

using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Options;
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
 
namespace aspnetcore013.Controllers
{
    [Route("api/[controller]/[action]")]
    [ApiController]
    public class Test3Controller : ControllerBase
    {
//用于 依賴注入
private readonly IOptionsSnapshot<JWTSetting> _settings;
 
//注入 設(shè)置
public Test3Controller(IOptionsSnapshot<JWTSetting> settings)
{
    _settings = settings;
}
 
[HttpGet]
public ActionResult<string> Login(string userName,string passWord)
{
    if(userName=="zhangsan"&& passWord == "123456")
    {
//這里已經(jīng) 表明 登錄 成功 
//Claim為 JWT第二階段的 payload
List<Claim> claims = new List<Claim>();
claims.Add(new Claim(ClaimTypes.NameIdentifier, "66"));
claims.Add(new Claim(ClaimTypes.Name, "zhangsan"));
claims.Add(new Claim("Wechat", "jiujiu56"));//自定義 type名稱
claims.Add(new Claim(ClaimTypes.Role, "admin"));
//下面為生成 JWT
string configkey = _settings.Value.Key;
DateTime outTime = DateTime.Now.AddSeconds(_settings.Value.OutTime);
byte[] byteKey = Encoding.UTF8.GetBytes(configkey);
var securityKey = new SymmetricSecurityKey(byteKey);
var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256Signature);
//設(shè)置 JWT第二階段的 payload 和過期 時(shí)間 和 效驗(yàn)算法
var securityToken = new JwtSecurityToken(claims: claims, expires: outTime, signingCredentials: credentials);
string jwt =new JwtSecurityTokenHandler().WriteToken(securityToken);
return jwt;
    }
    else
    {
return BadRequest("登錄失敗");
    }
}
    }
}

5.標(biāo)記 需要 授權(quán)的 控制器或方法

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using System.Security.Claims;
 
namespace aspnetcore013.Controllers
{
 
    [Route("api/[controller]/[action]")]
    [ApiController]
    [Authorize]  //在控制器上 加入這個(gè)[Authorize]
 //則 這個(gè)控制器 下所有 方法必須 登錄驗(yàn)證
 //如果在 方法上加 那么 這個(gè)方法 必須 登錄驗(yàn)證
    public class Test4Controller : ControllerBase
    {
[HttpGet]
public string demo1()
{
    //獲取 當(dāng)前登錄成功的用戶 Claim的值
    var claim = this.User.FindFirst(ClaimTypes.Name);
    return "666"+ claim.Value;
}
 
[HttpGet]
[AllowAnonymous] //在方法中 使用 [AllowAnonymous] 
 //可以 排除 本方法 使用 授權(quán) 不必登錄驗(yàn)證 就可使用
public string demo2()
{
    return "777";
}
[HttpGet]
[Authorize(Roles ="admin")] //可以使用 Role進(jìn)行
   //角色的控制 [Authorize(Roles ="admin")]
   //這里表示 必須要 有登錄權(quán)限并且角色為 admin
public string demo3()
{
    return "888";
}
    }
}

6.訪問 [Authorize] 授權(quán)的 方法或控制器 必須在 提交協(xié)議頭 加上 Authorization:Bearer JWT數(shù)據(jù)

注意：Bearer 和 JWT數(shù)據(jù)之間 要有 一個(gè) 空格 。JWT數(shù)據(jù)之后不能 參雜 任何額外數(shù)據(jù)

如果 退出 JWT 一般把 JWT刪除 就好。在多端 刪除即可 JWT還可以有 過期時(shí)間，上面代碼已經(jīng) 闡述 清楚了。

引入 Microsoft.AspNetCore.Authentication.JwtBearer 包

到此這篇關(guān)于asp.net core 中的Jwt(Json Web Token)的使用的文章就介紹到這了,更多相關(guān)asp.net core  Jwt使用內(nèi)容請(qǐng)搜索以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持！