JWT全称JSON Web Token[http://www.jwt.io/]，用于发送可通过数字签名和认证的东西，它包含一个紧凑的，URL安全的JSON对象，服务端可通过解析该值来验证是否有操作权限，是否过期等安全性检查。由于其紧凑的特点，可放在url中或者 HTTP Authorization头中，它是一种用于认证头部的 token 格式。这个 token 帮你实现了在两个系统之间以一种安全的方式传递信息。

一个jwt包含了三部分：header，payload，signature。

• header 是 token 的一部分，用来存放 token 的类型和编码方式，通常是使用 base-64 编码。

• payload 包含了信息。你可以存放任一种信息，比如用户信息，产品信息等。它们都是使用 base-64 编码方式进行存储。

• signature 包括了 header，payload 和密钥的混合体。密钥必须安全地保存储在服务端。

具体的算法就如下图 ：

代码实现

.NET 下有 System.IdentityModel.Tokens.Jwt,JWT 等实现, PM> Install-Package JWT  https://github.com/jwt-dotnet/jwt

public async Task<ActionResult> Index()

        {

            //Creating Tokens

            var exp = Math.Round((DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, DateTimeKind.Utc)).TotalSeconds + 5);

            var payload = new Dictionary<string, dynamic>()

                          {

                              { "iss", "irving" },

                              { "exp", exp},

                              { "name", "irving" },

                              { "age", 25 },

                              { "birthday", "1991-04-18" }

                          };

            var secretKey = "GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk";

            string token = JWT.JsonWebToken.Encode(payload, secretKey, JWT.JwtHashAlgorithm.HS256);

            try

            {

                //Verifying and Decoding Tokens

                string jsonPayload = JWT.JsonWebToken.Decode(token, secretKey);

                var dictPayload = JWT.JsonWebToken.DecodeToObject(token, secretKey) as IDictionary<string, dynamic>;

                return Content(jsonPayload + dictPayload["name"]);

            }

            catch (JWT.SignatureVerificationException ex)

            {

                return Content("Invalid token!");

            }

        }

集成WEBAPI

REFER: 
Nodejs RESTFul架构实践之api篇 
https://cnodejs.org/topic/557d647216839d2d53936351

原文地址：http://www.cnblogs.com/Irving/p/4975337.html

---

.NET社区新闻，深度好文，微信中搜索dotNET跨平台或扫描二维码关注