Blazor 集成 JWT 认证,核心是前后端协同:后端颁发并验证 Token,前端存储、携带、检查它。关键不在于写多少代码,而在于每个环节是否闭环——登录能取到 token、请求能自动带 token、路由能拦住未登录用户、登出能清干净。
后端配置 JWT 认证中间件
.NET 8+ 的 Blazor Server 或 Web API 项目中,在 Program.cs 注册 JWT Bearer 认证服务:
调用AddAuthentication().AddJwtBearer(),指定 issuer、audience 和密钥(必须和生成 token 时一致) 启用
AddAuthorization(),后续才能用
[Authorize]特性保护控制器或端点 确保中间件顺序:
UseAuthentication()必须在
UseAuthorization()之前,且都在
UseRouting()之后 JWT 配置建议从 appsettings.json 读取,例如:
"Jwt": { "Key": "your-32-byte-secret-key-here", "Issuer": "myapp", "Audience": "myapp-users" }
后端提供登录接口并生成 Token
新建一个 AuthController,暴露
POST /api/auth/login: 接收用户名/密码,校验通过后构造 Claims(至少含
ClaimTypes.Name,可加
ClaimTypes.Role) 用
SymmetricSecurityKey+
SigningCredentials签发
JwtSecurityToken返回结构建议包含
token、
expiresIn(单位秒)、
success字段,方便前端处理 注意:密钥长度要合规(HMAC-SHA256 至少 32 字节),避免硬编码,开发环境可用
Convert.FromBase64String()安全加载
前端登录与 Token 管理
Blazor WebAssembly 或 Server 均需在登录成功后持久化 token,并让所有受保护请求自动携带它:
登录后调用localStorage.SetItemAsync("auth-token", token)(WASM)或 ProtectedSessionStore.SetAsync("auth-token", token)(Server)
创建自定义 HttpClient(如
AuthorizedHttpClient),在构造时读取 token 并设为
Authorization: Bearer xxx头 将该客户端注册为 Scoped 服务,在需要调用 API 的组件中注入使用 登出时务必清除本地 token,并重定向到登录页(如
NavigationManager.NavigateTo("/login", true) 强刷)
前端路由与 UI 层权限控制
仅靠 HTTP 请求头还不够,用户界面也要响应式隐藏/拦截:
用<authorizeview></authorizeview>包裹内容,内部分
<authorized></authorized>、
<notauthorized></notauthorized>、
<authorizing></authorizing>三块 需要角色判断时,可在
<authorized roles="Admin"></authorized>中指定,前提是后端签发的 token 含
roleclaim 对整个页面加保护?在
@page指令下方加
@attribute [Authorize]想实现“未登录跳转登录页”?配置
RedirectToLogin组件,或在
App.razor中统一处理
AuthenticationStateProvider的状态变更
基本上就这些。不复杂但容易忽略的是 token 过期刷新和并发请求的认证头一致性——如果要做进阶,再考虑 silent refresh 或 interceptor 拦截 401 后自动重试。
