Jwt隐藏大坑，通过源码揭秘.doc

Jwt 隐藏大坑，通过源码揭秘

 

  我们都以为 Jwt 三部分是用`Base64`加密，其实不完全对，因为他确切的加密方

式是`Base64Url`加密，没有深入理解的我们只以为就是纯粹的 base64,而且在大部分情况下

确实是这样，更加坚定了我们这种错误认知。而只有当 Base64 加密后出现字符`+`或`/`时，

才会有所不同，希望对大家有帮助。

 

 

 前言

以才容易掉坑里。

 

 集成 JWT

 在 Asp.Net Core 中集成 JWT 认证的方式在网络上随便一搜就能找到一堆，主要有两个步

骤：

 

 

 在 IOC 容器中注入依赖

 

 public void ConfigureServices(IServiceCollection services)

  ValidateIssuer = true,//是否验证 Issuer

  ValidateAudience = true,//是否验证 Audience

  ValidateLifetime = true,//是否验证失效时间

  ClockSkew = TimeSpan.FromSeconds(30),

  ValidateIssuerSigningKey = true,//是否验证 SecurityKey

  ValidAudience = Const.Domain,//Audience

  ValidIssuer = Const.Domain,//Issuer，这两项和前面签发 jwt 的设置一致

  IssuerSigningKey = new

SymmetricSecurityKey(Encoding.UTF8.GetBytes(Const.SecurityKey))//拿到 SecurityKey

  };

 

 public void Configure(IApplicationBuilder app, IHostingEnvironment env)

 {

  // 添加这一行 使用认证中间件

  app.UseAuthentication();

 

  if (env.IsDevelopment())

  {

  app.UseDeveloperExceptionPage();

  }

  });

 }

 

 

 在 Controller

 

 [Route(“api/[controller]”)]

 [ApiController] // 添加这一行

 public class MyBaseController : ControllerBase

 

 提供一个认证的接口，用于前端获取 token

 

 [HttpGet]

 {

  {

  new Claim(ClaimTypes.Name, userName)

  };

  var key = new

  var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

  var token = new JwtSecurityToken(

  issuer: Const.Domain,

  audience: Const.Domain,

  claims: claims,

  expires: DateTime.Now.AddMinutes(30),

  }

  else

  {

  return BadRequest(new { message = “username or password is incorrect.” });

  }

 }

 

 至此，你的应用已经完成了集成 JWT 认证。