1. 第一部分：

理解JWT

JSON Web Token（JWT）是一種在不同系統(tǒng)之間傳遞信息的安全方式。它由三部分組成：頭部（Header）、載荷（Payload）和簽名（Signature）。頭部包含加密算法和令牌類型等信息，載荷包含用戶的信息，簽名用于驗(yàn)證令牌的真實(shí)性。

2. 安裝必要的包

在開始之前，我們需要在你的項(xiàng)目中添加一些必要的NuGet包來支持JWT。打開你的Visual Studio或者VS Code，在項(xiàng)目中運(yùn)行以下命令：

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer

這個(gè)包將幫助我們驗(yàn)證JWT令牌。

3. 配置認(rèn)證和授權(quán)

在Startup.cs文件的ConfigureServices方法中，添加以下代碼來配置認(rèn)證和授權(quán)：

public void ConfigureServices(IServiceCollection services)
{services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(options =>{options.TokenValidationParameters = new TokenValidationParameters{ValidateIssuer = true,ValidateAudience = true,ValidateLifetime = true,ValidateIssuerSigningKey = true,ValidIssuer = "your_issuer",ValidAudience = "your_audience",IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key"))};});services.AddAuthorization();services.AddControllers();
}

在這里，我們配置了JWT認(rèn)證的參數(shù)，包括驗(yàn)證發(fā)行者、接受者、過期時(shí)間以及簽名等信息。

4. 生成JWT令牌

在你的登錄邏輯中，當(dāng)用戶成功登錄后，你需要生成一個(gè)JWT令牌并返回給客戶端。在你的控制器或服務(wù)中，添加以下代碼：

using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;public IActionResult Login(string username, string password)
{// 此處應(yīng)該驗(yàn)證用戶名和密碼，為了簡化教程，這里省略// 假設(shè)驗(yàn)證通過，生成JWT令牌var tokenHandler = new JwtSecurityTokenHandler();var key = Encoding.UTF8.GetBytes("your_secret_key");var tokenDescriptor = new SecurityTokenDescriptor{Subject = new ClaimsIdentity(new Claim[]{new Claim(ClaimTypes.Name, username),// 可以添加更多的用戶信息}),Expires = DateTime.UtcNow.AddDays(1),SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)};var token = tokenHandler.CreateToken(tokenDescriptor);var tokenString = tokenHandler.WriteToken(token);return Ok(new { Token = tokenString });
}

在這里，我們使用用戶名和過期時(shí)間等信息創(chuàng)建了一個(gè)JWT令牌，并使用密鑰進(jìn)行簽名。

5. 保護(hù)API

現(xiàn)在，你的API已經(jīng)可以生成JWT令牌了。為了保護(hù)你的API，你需要在需要驗(yàn)證用戶身份的地方加上[Authorize]特性。例如：

[Authorize]
public IActionResult MyProtectedAction()
{// 只有經(jīng)過驗(yàn)證的用戶才能訪問這個(gè)方法return Ok("You have accessed the protected action.");
}

6. 測試API

現(xiàn)在你可以使用JWT令牌來測試你的API了。在請(qǐng)求的Header中添加Authorization字段，值為Bearer加上你生成的JWT令牌。如下所示：

GET /api/myprotectedaction HTTP/1.1
Host: localhost:5000
Authorization: Bearer your_generated_jwt_token

如果JWT令牌是有效的，你就可以成功訪問受保護(hù)的API。

通過這篇簡單的教程，你已經(jīng)了解了如何在.NET 5 Web API中使用JWT來保護(hù)你的Web應(yīng)用。JWT是一種靈活且安全的認(rèn)證方式，它可以幫助你驗(yàn)證用戶身份并保護(hù)你的API免受未授權(quán)訪問。希望這個(gè)教程對(duì)你有所幫助，祝你在.NET Core Web開發(fā)中取得更多的成功！