ASP.NET Core怎么实现JWT认证 JWT Token生成与验证方法

ASP.NET Core实现JWT认证需配置Bearer方案、生成Token并启用中间件，关键在密钥一致、时间对齐、Claim明确、传输合规；需注册认证服务、手动签发Token、正确启用UseAuthentication/UseAuthorization，并注意安全细节如避免敏感信息入载荷、强制HTTPS等。

ASP.NET Core 实现 JWT 认证，核心是配置 Bearer 认证方案，配合自定义 Token 生成逻辑（如登录接口签发）和中间件自动验证请求头中的 Token。关键不在“能不能”，而在“怎么配得稳、验得准、用得安全”。

1. 添加 JWT 认证服务（Program.cs）

在 WebApplicationBuilder 中注册认证服务，指定 Bearer Scheme，并加载密钥、算法、签发者、受众等验证参数：

• 使用对称密钥（HMAC-SHA256）较常见，密钥建议从配置或密钥管理服务读取，不要硬编码
• Issuer 和 Audience 必须与生成 Token 时一致，否则验证失败
• TokenValidationParameters 中启用 ValidateLifetime 并设置 ClockSkew（默认5分钟），避免因客户端时间偏差误判过期

var jwtSettings = builder.Configuration.GetSection("JwtSettings");
var key = Encoding.UTF8.GetBytes(jwtSettings["Key"]);

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(options =>
    {
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidateLifetime = true,
            ValidateIssuerSigningKey = true,
            ValidIssuer = jwtSettings["Issuer"],
            ValidAudience = jwtSettings["Audience"],
            IssuerSigningKey = new SymmetricSecurityKey(key),
            ClockSkew = TimeSpan.Zero // 可选：禁用时间宽容，要求严格同步
        };
    });

2. 生成 JWT Token（如登录成功后）

Token 生成需手动构造 Claims，用 JwtSecurityTokenHandler 签名并序列化为字符串。注意别漏掉必需的 Registered Claim（如 exp、iat、iss、aud）：

• Claims 至少包含用户标识（如 nameid、sub），也可添加角色（role）、权限（permission）等自定义声明
• exp（过期时间）必须设为 DateTime.UtcNow.AddMinutes(x)，不能用本地时间
• 签名密钥必须与认证配置中完全一致（字节数组内容相同）

var claims = new[]
{
    new Claim(JwtRegisteredClaimNames.Sub, user.Id.ToString()),
    new Claim(JwtRegisteredClaimNames.Name, user.Username),
    new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
    new Claim(ClaimTypes.Role, "User")
};

var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSettings["Key"]));
var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

var token = new JwtSecurityToken(
    issuer: jwtSettings["Issuer"],
    audience: jwtSettings["Audience"],
    claims: claims,
    expires: DateTime.UtcNow.AddMinutes(30),
    signingCredentials: creds);

var tokenString = new JwtSecurityTokenHandler().WriteToken(token);

3. 启用认证中间件并保护接口

调用 app.UseAuthentication() 和 app.UseAuthorization() 的顺序不能错（前者必须在后者之前），且通常放在 UseRouting() 之后、UseEndpoints() 之前：

挖错网

一款支持文本、图片、视频纠错和AIGC检测的内容审核校对平台。

185

查看详情

• [Authorize] 特性默认检查是否通过任意 scheme 认证；若只认 JWT，可写 [Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]
• 控制器方法中可通过 User.Identity.IsAuthenticated 判断是否已认证，User.Claims 获取所有声明
• 前端请求需在 Header 中携带：Authorization: Bearer <token-string></token-string>

4. 常见问题与安全提醒

JWT 不是银弹，用错容易引入漏洞：

• Token 一旦签发就无法主动作废（除非加 Redis 黑名单或短期有效期+刷新机制）
• 敏感信息不要放进 Payload（Base64 编码 ≠ 加密），仅放必要标识字段
• 避免在 URL 或 body 中传 Token，防止日志泄露；始终走 Authorization Header
• 开发环境禁用 HTTPS 时，JwtBearerOptions.RequireHttpsMetadata 必须设为 false，生产环境务必保持 true

基本上就这些。配置一次、生成一次、保护一次——不复杂但容易忽略细节。关键是密钥一致、时间对齐、Claim 明确、传输合规。

以上就是ASP.NET Core怎么实现JWT认证 JWT Token生成与验证方法的详细内容，更多请关注php中文网其它相关文章！