Ich versuche, JWT zu verwenden, um eine in C # geschriebene WEB-API abzusichern, habe aber ein paar Probleme. Meines Erachtens sollte der Fluss ungefähr so aussehen:

Client stellt der Web-API einen Benutzernamen / ein Kennwort von einer Client-Anwendung (Angular, .NET, Mobile usw.) zur Verfügung.Die Web-API überprüft, ob der Benutzername / das Kennwort korrekt ist, und generiert dann ein JWT (JSON-Web-Token), das die Rollen, Informationen, das Ablaufdatum und andere relevante Informationen des Benutzers enthält. Die JWT wird an die Client-Anwendung zurückgesendet.Die Client-Anwendung bleibt beim JWT hängen und sendet sie mit zukünftigen Anforderungen.

ngenommen, das oben Genannte ist korrekt (und lassen Sie es mich bitte wissen, wenn dies nicht der Fall ist), dann habe ich Probleme, die folgenden Dinge zu verstehe

Nachdem die Web-API den Benutzernamen / das Kennwort überprüft und das JWT erstellt hat, wie wird das JWT zurückgegeben? Füge ich es irgendwie zu einem HttpResponseMessage-Objekt hinzu? Ich kann keine eindeutige Antwort auf diese Frage finden.Wie soll die Client-Anwendung das JWT zurückgeben? Wird dies in den JSON-Daten, die an die URL angehängt sind, zu den Kopfzeilen hinzugefügt?Ich sehe viele Tutorials, die auf OWIN und OAUTH verweisen. Was sind das und warum brauche ich sie? Ich habe die Benutzeranmeldeinformationen und Rollen in der Datenbank, die von der WEB-API verwendet wird.