总而言之，言而总之，我们如何使用ASP.NET WEB API来创建一个RESFULL风格的WEB API并且进行JWT授权登录呢？

在这之前，我们必须要知道，什么才是JWT，为什么要使用它。

JWT 是什么？

JWT，全称（JSON WEB TOKEN），是一种基于JSON无状态的授权令牌，同时也是一种标准的数据传输规范。

JWT 构成？

JWT由三部分的组成，分别是：header 头部、payload 荷载、signature 签证 。

header 头部

这部分主要的声明JWT的类型以及加密方式；格式如下：

{
  'typ': 'JWT',//声明类型 jwt
  'alg': 'HS256'//声明加密算法 HMAC  SHA256
}

在JWT中会由两种方式进行加密，分别是HMAC、SHA256，这里使用的是SHA256进行加密。

payload 荷载

这部分的信息可以理解为类似于飞机上的荷载物品。包含三个方面的数据：

标准中注册的声明

iss: jwt签发者；
sub: jwt所面向的用户；
aud: 接收jwt的一方；
exp: jwt的过期时间，这个过期时间必须要大于签发时间；
nbf: 定义在什么时间之前，该jwt都是不可用的；
iat: jwt的签发时间；
jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击；

公共的声明

一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息，因为该部分在客户端可解密。

私的声明

提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。

格式如下：

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

signature 签证

需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。

JWT 需要注意的哪些地方？

注意：secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

原文