ASP.NET Core 实现 JWT 认证,核心是配置 Bearer 认证方案,配合自定义 Token 生成逻辑(如登录接口签发)和中间件自动验证请求头中的 Token。关键不在“能不能”,而在“怎么配得稳、验得准、用得安全”。
1. 添加 JWT 认证服务(Program.cs)
在 WebApplicationBuilder 中注册认证服务,指定 Bearer Scheme,并加载密钥、算法、签发者、受众等验证参数:
使用对称密钥(HMAC-SHA256)较常见,密钥建议从配置或密钥管理服务读取,不要硬编码 Issuer 和 Audience 必须与生成 Token 时一致,否则验证失败 TokenValidationParameters 中启用 ValidateLifetime 并设置 ClockSkew(默认5分钟),避免因客户端时间偏差误判过期 示例代码片段:var jwtSettings = builder.Configuration.GetSection("JwtSettings");
var key = Encoding.UTF8.GetBytes(jwtSettings["Key"]);
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidIssuer = jwtSettings["Issuer"],
ValidAudience = jwtSettings["Audience"],
IssuerSigningKey = new SymmetricSecurityKey(key),
ClockSkew = TimeSpan.Zero // 可选:禁用时间宽容,要求严格同步
};
});
2. 生成 JWT Token(如登录成功后)
Token 生成需手动构造 Claims,用 JwtSecurityTokenHandler 签名并序列化为字符串。注意别漏掉必需的 Registered Claim(如 exp、iat、iss、aud):
Claims 至少包含用户标识(如 nameid、sub),也可添加角色(role)、权限(permission)等自定义声明 exp(过期时间)必须设为 DateTime.UtcNow.AddMinutes(x),不能用本地时间 签名密钥必须与认证配置中完全一致(字节数组内容相同) 简易生成方法:var claims = new[]
{
new Claim(JwtRegisteredClaimNames.Sub, user.Id.ToString()),
new Claim(JwtRegisteredClaimNames.Name, user.Username),
new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
new Claim(ClaimTypes.Role, "User")
};
var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSettings["Key"]));
var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
var token = new JwtSecurityToken(
issuer: jwtSettings["Issuer"],
audience: jwtSettings["Audience"],
claims: claims,
expires: DateTime.UtcNow.AddMinutes(30),
signingCredentials: creds);
var tokenString = new JwtSecurityTokenHandler().WriteToken(token);
3. 启用认证中间件并保护接口
调用
app.UseAuthentication()和
app.UseAuthorization()的顺序不能错(前者必须在后者之前),且通常放在
UseRouting()之后、
UseEndpoints()之前: [Authorize] 特性默认检查是否通过任意 scheme 认证;若只认 JWT,可写 [Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)] 控制器方法中可通过 User.Identity.IsAuthenticated 判断是否已认证,User.Claims 获取所有声明 前端请求需在 Header 中携带:
Authorization: Bearer <token-string></token-string>
4. 常见问题与安全提醒
JWT 不是银弹,用错容易引入漏洞:
Token 一旦签发就无法主动作废(除非加 Redis 黑名单或短期有效期+刷新机制) 敏感信息不要放进 Payload(Base64 编码 ≠ 加密),仅放必要标识字段 避免在 URL 或 body 中传 Token,防止日志泄露;始终走 Authorization Header 开发环境禁用 HTTPS 时,JwtBearerOptions.RequireHttpsMetadata 必须设为 false,生产环境务必保持 true基本上就这些。配置一次、生成一次、保护一次——不复杂但容易忽略细节。关键是密钥一致、时间对齐、Claim 明确、传输合规。
