前言

如果你的介面是開放的，誰都可以成功呼叫，那麼會非常危險。因此除非你真的想做開放式服務，否則要對使用者的請求做許可權控制


舉例：假如我想自己寫一個“張三版新浪微博”的APP。


新浪微博開放了微博的介面，所有人可以呼叫這些介面“發微博”、“看微博”等。當然不是隨便呼叫，而是要到新浪微博的開放平臺後臺申請一個AppKey（或者AppId），申請成功後，新浪微博就會分配一個AppKey和一個App、AppSecret給你。這個AppKey就是供“張三版新浪微博”這個App用的，新浪微博的使用者也可以用同樣的使用者名稱密碼登入“張山版新浪微博”這個App發微博、看微博，和官方版本的新浪微博是互通的。

無論是認證還是授權，都需要傳遞認證資訊，對於認證來講就是AppKey、AppSecret，對於授權來講就是使用者的賬號、密碼。

介面傳輸這些認證資訊方法有很多，常用的有：

1> 每次請求，直接把“使用者名稱/AppKey”、“密碼/AppSecret”通過表單、QueryString或者報文頭傳遞；這種安全性比較差，因為隨時可以被截獲。

2> 首次先使用“使用者名稱/AppKey”、“密碼/AppSecret”獲取Access_Token（相當於SessionId，在伺服器端生成guid，用guid做key，用使用者名稱做value儲存到redis、memcached等地方），以後的請求都帶著Access_Token，Access_Token存在有效期，過時後要重新獲取Access_Token。缺點是Access_Token有過期重新登入的問題，而移動端app經常需要一段時間不用開啟還要能直接用。需要有一個類似於Session的中心回話伺服器。WebAPI也可以使用asp.net 的Session，但是不建議使用。

3> 登入時，伺服器端把“使用者名稱/AppKey”、“密碼/AppSecret”採用JWT等的加密後返回給客戶端，客戶端以後傳送請求的時候把JWT加密的內容放到請求中，服務端再解密獲取使用者名稱。優點是不需要會話狀態伺服器，有利於分散式部署，還有可以避免Session的過期問題，可以一直能用；缺點是一旦加密解密演算法洩露，會帶來安全性問題。（推薦）

為什麼使用JWT（JSON Web Tokens）

在傳統的基於session的使用者登入認證中，因為http是無狀態的，所以都是採用session方式。使用者登入成功，服務端會建立一個session，當然會給客戶端一個sessionId，客戶端會把sessionId儲存在cookie中，每次請求都會攜帶這個sessionId。
cookie+session這種模式通常是儲存在記憶體中，而且服務從單服務到多服務會面臨的session共享問題，隨著使用者量的增多，開銷就會越大。而JWT不是這樣的，只需要服務端生成token，客戶端儲存這個token，每次請求攜帶這個token，服務端認證解析就可。
 

JWT 是一種無狀態的分散式的身份驗證方式，與 Session 相反，Jwt 將使用者資訊存放在 Token 的 payload 欄位儲存在客戶端，通過 RSA 加密的方式，保證資料不會被篡改，驗證資料有效性。

我們需要做的第一件事就是讓客戶端通過他們的賬號密碼交換token。這裡有2種可能的方法在RESTful API裡面。第一種是使用POST請求來通過驗證，使服務端傳送帶有token的響應。除此之外，你可以使用GET請求，這需要他們使用引數提供憑證（指URL），或者更好的使用請求頭。

JWT（Json Web Token）是現在流行的一種對Restful介面進行驗證的機制的基礎。JWT的特點：把使用者資訊放到一個JWT字串中，使用者資訊部分是明文的，再加上一部分簽名區域，簽名部分是伺服器對於“明文部分+祕鑰”加密的，這個加密資訊只有伺服器端才能解析。使用者端只是儲存、轉發這個JWT字串。如果客戶端篡改了明文部分，那麼伺服器端解密時候會報錯。

JWT由三塊組成，可以把使用者名稱、使用者Id等儲存到Payload部分

頭：Header

JWT第一部分是header,header主要包含兩個部分,alg指加密型別，可選值為HS256、RSA等等，typ=JWT為固定值，表示token的型別。

{
    "typ": "JWT",
    "alg": "HS256"
}

載體：Payload

JWT第二部分是Payload,Payload 部分也是一個 JSON 物件，它是token的詳細內容，用來存放實際需要傳遞的資料,一般包括：
iss  (發行者      即：JWT簽發者),
exp  (過期時間   即：JWT的過期時間，這個過期時間必須要大於簽發時間), 
sub (使用者資訊)
aud  (接收者       即：接收JWT的一方),
iat (簽發時間   即：JWT的簽發時間)
nbf  (生效時間   即：定義在什麼時間之前，該jwt都是不可用的）
 jti (編號    即：JWT的唯一身份標識【值一般是GUID】，主要用來作為一次性token,從而回避重放攻擊：具體做法就是使用者請求一次，然後我們獲取這個jti的值，然後給這個值加入黑名單【在Redis中設定一個黑名單表】使用者第二次用這個Token來請求，我們在得到這個jti的值，去黑名單中查詢下是否有這個值，如果有值則表示是重放請求)
以及其他資訊，詳細介紹請參考官網,也可以包含自定義欄位。JWT 規定了以上7個官方欄位，供選用

例如:我們可以自定義一個Payload

{
 "sub": "招商銀行",
 "name": "張三",
 "admin": true,
 "jti": "2ab2dc85-0589-4174-b86e-b23dc9ae82a0",
 "iat": 1542037098, //簽發日期的時間戳
 "exp": 1542040698  //過期日期的時間戳
}

簽名：Signature

JWT第三部分是Signature，Signature 部分是對前兩部分的簽名，防止資料篡改。

這部分的內容是這樣計算得來的:

首先，需要指定一個金鑰（secret）。這個金鑰只有伺服器才知道，不能洩露給使用者。然後，使用 Header 裡面指定的簽名演算法（預設是 HMAC SHA256），按照下面的公式產生簽名。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出簽名以後，把 Header、Payload、Signature 三個部分拼成一個字串，每個部分之間用"點"（.）分隔，就可以返回給使用者。

Token案例

using JWT;
using JWT.Algorithms;
using JWT.Serializers;
using Microsoft.AspNetCore.Mvc;

namespace JwtApp.Controllers
{
    [Route("api/[controller]")]
    public class HomeController : Controller
    {
        //建立Token
        [Route(nameof(CreateToken))]
        public IActionResult CreateToken()
        {
            var jti = Guid.NewGuid();
            var exp = (DateTime.UtcNow.AddSeconds(100) - new DateTime(1970, 1, 1)).TotalSeconds;
            var payload = new Dictionary<string, object>
            {
                { "sub", "招商銀行" },
                { "userName", "張三" },
                { "admin",true},
                { "jti", jti},
                { "exp",exp}
            };
            var secret = "GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk";//祕鑰：不要洩露
            IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
            IJsonSerializer serializer = new JsonNetSerializer();
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
            var token = encoder.Encode(payload, secret);

            return Content(token);
        }

        //解密Token
        [Route(nameof(DecryptToken))]
        public IActionResult DecryptToken(string token)
        {
            var secret = "GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk";//祕鑰：不要洩露
            try
            {
                IJsonSerializer serializer = new JsonNetSerializer();
                IDateTimeProvider provider = new UtcDateTimeProvider();
                IJwtValidator validator = new JwtValidator(serializer, provider);
                IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
                IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder);
                var json = decoder.Decode(token, secret, verify: true);
                return Content(json);
            }
            catch (FormatException)
            {
                return Content("Token格式無效");
            }
            catch (TokenExpiredException)
            {
                return Content("Token已經過期");
            }
            catch (SignatureVerificationException)
            {
                return Content("Token無效");
            }
        }
    }
}