ASP.NET Core实现JWT认证需配置Bearer方案、生成Token并启用中间件,关键在密钥一致、时间对齐、Claim明确、传输合规;需注册认证服务、手动签发Token、正确启用UseAuthentication/UseAuthorization,并注意安全细节如避免敏感信息入载荷、强制HTTPS等。
ASP.NET Core 实现 JWT 认证,核心是配置 Bearer 认证方案,配合自定义 Token 生成逻辑(如登录接口签发)和中间件自动验证请求头中的 Token。关键不在“能不能”,而在“怎么配得稳、验得准、用得安全”。
1. 添加 JWT 认证服务(Program.cs)
在 WebApplicationBuilder 中注册认证服务,指定 Bearer Scheme,并加载密钥、算法、签发者、受众等验证参数:
使用对称密钥(HMAC-SHA256)较常见,密钥建议从配置或密钥管理服务读取,不要硬编码 Issuer 和 Audience 必须与生成 Token 时一致,否则验证失败 TokenValidationParameters 中启用 ValidateLifetime 并设置 ClockSkew(默认5分钟),避免因客户端时间偏差误判过期示例代码片段:
var jwtSettings = builder.Configuration.GetSection("JwtSettings");var key = Encoding.UTF8.GetBytes(jwtSettings["Key"]);builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = jwtSettings["Issuer"], ValidAudience = jwtSettings["Audience"], IssuerSigningKey = new SymmetricSecurityKey(key), ClockSkew = TimeSpan.Zero // 可选:禁用时间宽容,要求严格同步 }; });
2. 生成 JWT Token(如登录成功后)
Token 生成需手动构造 Claims,用 JwtSecurityTokenHandler 签名并序列化为字符串。注意别漏掉必需的 Registered Claim(如 exp、iat、iss、aud):
Claims 至少包含用户标识(如 nameid、sub),也可添加角色(role)、权限(permission)等自定义声明 exp(过期时间)必须设为 DateTime.UtcNow.AddMinutes(x),不能用本地时间 签名密钥必须与认证配置中完全一致(字节数组内容相同)简易生成方法:
var claims = new[]{ new Claim(JwtRegisteredClaimNames.Sub, user.Id.ToString()), new Claim(JwtRegisteredClaimNames.Name, user.Username), new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()), new Claim(ClaimTypes.Role, "User")};var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSettings["Key"]));var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);var token = new JwtSecurityToken( issuer: jwtSettings["Issuer"], audience: jwtSettings["Audience"], claims: claims, expires: DateTime.UtcNow.AddMinutes(30), signingCredentials: creds);var tokenString = new JwtSecurityTokenHandler().WriteToken(token);
3. 启用认证中间件并保护接口
调用 app.UseAuthentication() 和 app.UseAuthorization() 的顺序不能错(前者必须在后者之前),且通常放在 UseRouting() 之后、UseEndpoints() 之前:
[Authorize] 特性默认检查是否通过任意 scheme 认证;若只认 JWT,可写 [Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)] 控制器方法中可通过 User.Identity.IsAuthenticated 判断是否已认证,User.Claims 获取所有声明 前端请求需在 Header 中携带:Authorization: Bearer
4. 常见问题与安全提醒
JWT 不是银弹,用错容易引入漏洞:
Token 一旦签发就无法主动作废(除非加 Redis 黑名单或短期有效期+刷新机制) 敏感信息不要放进 Payload(Base64 编码 ≠ 加密),仅放必要标识字段 避免在 URL 或 body 中传 Token,防止日志泄露;始终走 Authorization Header 开发环境禁用 HTTPS 时,JwtBearerOptions.RequireHttpsMetadata 必须设为 false,生产环境务必保持 true
基本上就这些。配置一次、生成一次、保护一次——不复杂但容易忽略细节。关键是密钥一致、时间对齐、Claim 明确、传输合规。
以上就是ASP.NET Core怎么实现JWT认证 JWT Token生成与验证方法的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1443024.html
微信扫一扫 
支付宝扫一扫 
