问利用JWT实现Asp.net网络应用程序接口的身份认证

EN

我一直在读有关JWT的文章。

但据我所知，它不是一种身份验证机制，而更像是身份验证机制中的一个关键组件。

我目前已经实现了一个有效的解决方案，但它只是尝试JWT，看看它是如何工作的。但我现在追求的是一个人应该如何利用它。根据我的经验，它基本上只是一种加密机制，给你一个唯一的加密密钥。您还可以将信息放入此令牌中。

我想在移动应用程序使用的ASP.NET web API2上实现它。

因此，第1步：

1. 应用程序=>服务器:登录(用户，JWT =>应用程序:登录OK，这是您的JWT
2. 应用程序=>服务器:获取我的配置文件(发送JWT请求)服务器，然后解密JWT并确定请求身份。

这只是我的理解，看，我可能走上了一条完全错误的道路。

JWT的理想是让您不必对每个请求都进行身份验证吗？我只需验证用户凭据一次(在首次登录时)，然后服务器可以简单地使用JWT，而不必在数据库中查找用户pw和user？

我只想使用JWT来识别用户是谁。然后，我将授权后，我已经验证了他们。据我所知，新的MVC和身份验证和授权有很大的混淆。

所以我的问题归结起来就是。

如何使用JWT安全有效地实现身份验证机制？我不想只是吐出一些看起来有效的东西，而对其安全影响一无所知。我确信有一个来源可能设计了一种安全的机制来满足我的需求。

我的要求是：

• 必须在每个会话中只检查一次数据库中的用户凭据吗？由于使用了bcrypt，使用了大量的资源进行比较，passwords.
• Must能够从他们的请求中识别出用户。(即，他们是谁，userId就足够了)，并且对于处理请求的服务器端的资源而言，
• 应该尽可能低的开销，并且最好不访问DB。
• 如果入侵者必须复制设备之前的请求，那么他应该无法访问真正的用户数据。(显然)

谢谢