我一直在读有关JWT的文章。
但据我所知,它不是一种身份验证机制,而更像是身份验证机制中的一个关键组件。
我目前已经实现了一个有效的解决方案,但它只是尝试JWT,看看它是如何工作的。但我现在追求的是一个人应该如何利用它。根据我的经验,它基本上只是一种加密机制,给你一个唯一的加密密钥。您还可以将信息放入此令牌中。
我想在移动应用程序使用的ASP.NET web API2上实现它。
因此,第1步:
这只是我的理解,看,我可能走上了一条完全错误的道路。
JWT的理想是让您不必对每个请求都进行身份验证吗?我只需验证用户凭据一次(在首次登录时),然后服务器可以简单地使用JWT,而不必在数据库中查找用户pw和user?
我只想使用JWT来识别用户是谁。然后,我将授权后,我已经验证了他们。据我所知,新的MVC和身份验证和授权有很大的混淆。
所以我的问题归结起来就是。
如何使用JWT安全有效地实现身份验证机制?我不想只是吐出一些看起来有效的东西,而对其安全影响一无所知。我确信有一个来源可能设计了一种安全的机制来满足我的需求。
我的要求是:
谢谢
https://stackoverflow.com/questions/23674613
复制相似问题