我正在开发ASP NET Core Web API,但在选择认证方法方面感到困惑。我过去使用默认的Asp Net Identity身份验证,但最近了解了JWT。因此,我已经几乎按照本文中所做的那样实现了身份验证:https://stormpath.com/blog/token-authentication-asp-net-core。
但是,我不理解这个JWT的好处。对于简单的Asp Net Identity身份验证,我不关心令牌存储等问题。我只需使用signInManager登录并使用已授权的方法,直到注销。而使用JWT需要考虑令牌存储、到期时间和其他困难。那么,这个JWT有什么好处?我如何存储登录后的JWT令牌?此外,我是否应该使用这个JWT?在我的情况下,我需要一个简单的身份验证,用于将被一个或少数用户使用的简单WebApi。我还听说过OpenIddict、Auth0、IdentityServer,那么所有这些身份验证机制之间有什么区别?
那么,这个JWT有什么好处呢?
JWT被发放给客户端并存储在客户端侧。拥有JWT允许多个客户端(应用程序或网站)使用相同的认证服务器,该服务器分发JWT并说明客户端可以如何使用API。
登录后如何存储此JWT令牌?
我只尝试在使用Angular 2的Ionic 2应用程序中存储它,其中包含一个存储模块。但我很确定已经有很多人这样做并问过这个问题:
ASP.NET Core 1.0 Web API中的简单JWT身份验证
更新 如果您的前端纯粹是html/js/css而没有后端来容纳它,则应将令牌存储在本地存储中,有多个npm软件包可以帮助您完成此操作例如这个。您需要寻找Implicit flow。
否则,如果您的前端有一个带有后端的系统,则应将令牌存储在会话/数据库中,您可以选择使用第三方提供商来完成此操作,例如IdentityServer4。您需要使用Hybrid flow
由于整个关注点的原因是性能,所以您实际上不需要它,因为只有一个或少量用户。之所以这样做是因为它是一个学习经验,JWT从一开始设置起来并不容易,需要您大量阅读,您会失败并且会感到沮丧,但最终您将知道如何设置它以及它是如何工作的此外,我是否应该使用JWT? 在我的情况下,我需要为一个或少数用户使用的简单WebApi进行简单的身份验证。
我也听说过OpenIddict,Auth0,IdentityServer,那么所有这些身份验证机制之间有什么区别呢?
所以您在Stormpath教程中所做的不适用于生产。那只是一个小演示,帮助您了解JWT是什么以及它是如何工作的。上述库是完整的库,可以处理所有重要的事情,无需您从头开始构建整个库。它们之间的主要区别在于它们涵盖的范围不同。
我个人使用了IS4,并且让我哭泣不超过2次(它比我想象的简单): http://identityserver4.readthedocs.io/en/release/
https://github.com/openiddict/openiddict-core
https://auth0.com/docs/quickstart/webapp/aspnet-core/00-intro
如果您的API需要连接多个应用程序或服务(Web、移动、其他服务),请使用令牌(JWT)。好处:无状态、可扩展性、无cookie,无CORS问题(如果允许)。
如果您的API只会被一个Web应用程序使用,请使用默认的ASP默认身份验证系统。这样更容易设置。
