(资料图片)

最近不知怎么的，自从学了WebAPI(为什么是这个，而不是MVC，还不是因为MVC的Razor语法比较难学，生态不如现有的Vue等框架，webapi很好的结合了前端生态)以后，使用别人的组件一帆风顺，但是不知其意，突然很想自己实现一个基于的JWT认证服务，来好好了解一下这个内容。

自从Session-Cookie方案逐渐用的越来越少，JWT的使用也变得成为主流的安全方案之一，但是在.NET Core的文档(这里的.NET Core指代原来的.Net Core以及之后的版本，文档是微软的开发者文档)并没有对JWT做详细的介绍(可能是在微软看来太简单了，不值得细说)，仅仅略带一提而已，实例代码更是少得可怜，根本没有什么建设性的帮助作用，更像文档工程师在水任务(但不得不说微软的Indentity框架是真的强大，Spring Security的功能基本都实现了)。纵然是费尽心机找资料，钻研文档，还是所获甚少。但是在不断的努力之下还是找到很多方案的，其中比较有用的就拿几个，我仔细研究实践后得到了这几篇文章，不求它有多大帮助，之希望它能帮更多人少走弯路。然而这几个方案大概可以分成两类：

首先创建一个WebAPI项目，至于是否在启动后使用HTTPS，根据自己的需要，一般都是需要的。然后用Nuget或者Dotnet安装JWT这个Nuget包即可开始，如果是ASP.NET Core这样需要依赖注入环境的，推荐JWT.Extensions.AspNetCore这个包(强力推荐)，可以更好的让你开始，仅仅需要基本功能的只用JWT即可。由于我这里使用的是RSA1024bit，所以需要一个HTTPS的PEM或者CRT证书做CA,各位可以自己生成一个。首先，我们需要为服务注入这个包的依赖，即使用builder.Services.AddAuthentication().AddJwt()来添加相关依赖。那为什么是要使用这个方法呢？如果你通过对象浏览器查看API会发现一个AddJwtDecoder的方法，同样可以添加依赖，并且更灵活，如果反编译就发现——AddJwt方法是对AddJwtDecoder的某个重载的调用，后面可以调用其他方法达成同样的效果，所以推荐使用这个方法注入。

builder.Services.AddAuthentication(options =>{    options.DefaultAuthenticateScheme = JwtAuthenticationDefaults.AuthenticationScheme;    options.DefaultChallengeScheme = JwtAuthenticationDefaults.AuthenticationScheme;}).AddJwt();

然后在应用认证中间件即可。

app.UseAuthentication();

完成这些工作以后，还需要创建一个用来根据用户信息生成JWT的控制器，为了防止使用HTTPGet被攻击，我这里采用了HTTPPost。根据这个包的文档，生成一个JWT字符串非常容易，只需要创建一个x509对象或者两个RSA对象作为公钥和私钥即可，我推荐使用这个包里面提供的FluentApi方式，写起来非常舒服，最后编码生成JWT，完成。

var token = JwtBuilder.Create()            .WithAlgorithm(algorithm) // 加密算法            .AddClaim("Account", accountName) //添加用户信息            .AddClaim("Passwd", passwdContext) //添加用户密码            .Encode(); //编码生成jwt

[Route("api/[controller]")][ApiController]public class JwtController : ControllerBase{    private RSA publicKey = RSA.Create();    private RSA privateKey = RSA.Create();    private RS2048Algorithm? algorithm { get; set; }    public JwtController()    {        algorithm = new RS2048Algorithm(publicKey, privateKey);    }    [HttpPost]    public async Task CreateJwt(string accountName, string passwdContext)    {        return await Task.Run(() =>        {            var token =            JwtBuilder.Create()            .WithAlgorithm(algorithm)            .AddClaim("Account", accountName)            .AddClaim("Passwd", passwdContext)            .Encode();            return token;        });    }}

JWT.Extensions.AspNetCore这个包是一个集成了常用jwt操作的包，可以让你不必关心JWT的创建过程，这大大化简了我们使用JWT的过程，在一定程度上提高了生产力。如果您喜欢这个库，可以到项目主页上添加一颗星。

经过本人的亲身经历，x509在.NET6之后的类库X509Certificate2不能直接生成私钥，需要使用该类的成员方法：public System.Security.Cryptography.X509Certificates.X509Certificate2 CopyWithPrivateKey (System.Security.Cryptography.ECDiffieHellman privateKey);创建一个带有私钥的副本，否则会出现私钥在对象构造成功后出现NULL的情况。如果没有特殊必要，建议直接使用Rsa的成员方法直接生成一个Rsa对象来操作比较简便，目前这个办法还可以改进，欢迎各位留言。

标签：