打通 RxJS 任督二脈
使用 JWT token 來進行身份認證已經是現在開發上的顯學了,常見的服務如 Microsoft 等透過 OAuth 2.0 登入後,有會拿到一組 JWT 格式的 access token,我們可以透過這個 token 去呼叫相關的 API 來取得想要得資料,但除了把 access token 丟給 API 外,我們有沒有其他方是可以驗證這個 token 是否有效呢?
如果服務使用 RS256 對 token 簽章,且有跟著 OpenID 的規範走的話,是有一套完整在 client 端就可以自行驗證的流程的,這篇文章就來說明一下所有相關的技術,同時實際拿個 token 來驗證看看!
在開發web api的時候,由於連線通常都是stateless的,因此驗證跟授權是一個比較艱鉅的挑戰,也因此出現了不少規範來解決這個問題如OAuth等等,而JWT則是一個相對簡單但又安全方式,今天就來介紹一下如何使用JWT來處理Asp.Net WebApi的驗證。