Разговор про аутентификацию при помощи JWT будет не полным если не упомянуть еще один токен – Refresh Token. Цель данной статьи понять зачем он нужен и каким образом используется.

В предыдущей части была рассмотрена реализация аутентификации в API с использованием JWT, данные которого подписаны цифровой подписью. Такой подход гарантирует подлинность утверждений в токене, но при этом они могут быть легко прочитаны даже в консоли браузера. Для большинства API такого решения вполне достаточно. Однако если необходимо защитить содержимое токена, то на помощь приходит реализация JWT на базе JWE.

Во второй части перейдем непосредственно к коду. Создадим демонстрационное веб-приложение с простым API, доступ к которому будет возможен только аутентифицированным пользователям с помощью JWT.

Аутентификация это одна из постоянных составляющих частей API веб-приложения. Привычный вариант реализации с помощью cookie здесь не подходит, т.к. большинство клиентов не смогут его поддерживать. Можно передавать имя пользователя и пароль пользователя с каждым запросом. Но есть способ лучше – использовать Json Web Token (JWT). Реализовать его поддержку в ASP.NET Core приложении достаточно просто. Но для начала разберемся что же такое JWT.