以前在web端的身份认证都是基于Cookie
Session的身份认证,在没有更多的终端出现之前,这样做也没有什么问题,但在WebAPI时代,你所需要面对的就不止是浏览器了,还有各种客户端,这样就有了一个问题,这些客户端是不知道cookie是什么鬼的。(cookie其实是浏览器搞出来的小猫腻,用来保持会话的,但HTTP本身是无状态的,各种客户端能提供的无非也就是HTTP操作的API)
而基于Token的身份认证就是应对这种变化而生的,它更开放,安全性也更高。
基于Token的身份认证有很多种实现方式,但我们这里只使用微软提供的API。
接下来的例子将带领大家完成一个使用微软JwtSecurityTokenHandler完成一个基于bearetoken的身份认证。
注意:这种文章属于Stepbystep教程,跟着做才不至于看晕,下载完整代码分析代码结构才有意义。
前期准备