中年大叔的鹹魚翻身作戰計畫

昨天已經為先前實作的 ASP.NET Core Web API 加入了會員註冊與登入的功能，但是在登入的使用者認證是屬於 Cookie Based Authentication 因為我們所開發的 Web API 主要是要行動裝置使用，參考一些文章的比較，看來 Token Based Authentication 比較合適，所以今天就來學習讓我們的 ASP.NET Core Web API 可以發行 JSON Web Token 吧！

昨天在稍微了解了 ASP.NET Core Identity 會員管理機制之後，已經建立了用來記錄使用者登入以及授權旳資料庫，並將原有的控制器加上了 [Authorize] 授權要求，這樣一來，未經授權的使用者就無法使用我們所開發的 Web API 了。

但是，問題來了，那誰又是合法的授權者呢？要在什麼條件下，才可以使用呢？所以今天的學習目標就訂在《後端》的使用者註冊與登入吧！

上星期五我們在練習完刪除一筆資料前，先出現對話框詢問使用者是否確定要刪除，如果確定就執行 ASP.NET Core Web API 的刪除動作。雖然在前端有防止使用者誤按的防呆機制，但是後端的 ASP.NET Core Web API 卻沒有受到保護，只要有心人士知道 Web API 的 URL 就可以任意地操控我們的資料。

所以今天起先安排一系列與資料保護有關的練習，完成後再往下發展另外的學習。

還記得先前練習 Entity Framework Core 時，為了方便講解起見，直接將資料庫的連線字串直接就寫死（Hard Codding）在程式中，如下所示：

public void ConfigureServices(IServiceCollection services)
{
    var connection = @"Server=keigen;Database=DemaeDb;Integrated Security=True;";
    services.AddDbContext<DemaeContext>(options => options.UseSqlServer(connection));    
    ........        
    ........
}