ASP.NET Core 实战:基于 JWT Token 的权限控制全揭露

于 2025-08-31 19:00:00 发布
阅读量916 收藏 25
点赞数 13
CC 4.0 BY-SA版权
分类专栏: C#乐园 文章标签: asp.net 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z_344791576/article/details/149692543

🔥关注墨瑾轩,带你探索编程的奥秘!🚀
🔥超萌技术攻略,轻松晋级编程高手🚀
🔥技术宝库已备好,就等你来挖掘🚀
🔥订阅墨瑾轩,智趣学习不孤单🚀
🔥即刻启航,编程之旅更有趣🚀

在这里插入图片描述在这里插入图片描述

在微服务和前后端分离的架构中,传统的 Session 认证早已力不从心。而 JWT(JSON Web Token)凭借其无状态、跨域友好、可扩展性强等特性,成为现代 Web 应用的“身份通行证”。本文将通过 JWT Token 的生成、验证、角色授权、自定义策略 四大核心模块,带你在 ASP.NET Core 中构建一套从“登录认证”到“细粒度权限控制”的完整解决方案。

第一章:JWT Token 的“三体法则”

1.1 JWT 的结构解析

JWT 由三部分组成:

  • Header:声明算法和 Token 类型(如 HS256)。
  • Payload:携带用户信息(如用户名、角色、过期时间)。
  • Signature:签名验证 Token 的完整性。
{
  "alg": "HS256",
  "typ": "JWT"
}
.
{
  "sub": "1234567890",
  "name": "John Doe",
  "role": "Admin",
  "exp": 1516239022
}
.
HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload), secretKey)

第二章:从零搭建 JWT 认证体系

2.1 安装依赖包

使用 NuGet 安装 JWT Bearer 认证中间件:

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer

2.2 配置 JWT 认证服务

Program.cs(或旧版 Startup.cs)中配置 JWT 认证服务:

public class Program
{
    public static void Main(string[] args)
    {
        var builder = WebApplication.CreateBuilder(args);

        // 配置 JWT 认证服务
        builder.Services.AddAuthentication(options =>
        {
            options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
            options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
        })
        .AddJwtBearer(options =>
        {
            options.TokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuer = true,
                ValidateAudience = true,
                ValidateLifetime = true,
                ValidateIssuerSigningKey = true,
                ValidIssuer = builder.Configuration["Jwt:Issuer"],       // 从 appsettings.json 读取
                ValidAudience = builder.Configuration["Jwt:Audience"],
                IssuerSigningKey = new SymmetricSecurityKey(
                    Encoding.UTF8.GetBytes(builder.Configuration["Jwt:SecretKey"])),
                ClockSkew = TimeSpan.Zero // 严格校验过期时间
            };
        });

        // 添加授权服务
        builder.Services.AddAuthorization(options =>
        {
            options.AddPolicy("AdminOnly", policy =>
                policy.RequireRole("Admin")); // 基于角色的授权策略
        });

        var app = builder.Build();

        // 启用认证和授权中间件
        app.UseAuthentication();
        app.UseAuthorization();

        // 其他中间件...
        app.Run();
    }
}

关键注释

  • ValidIssuer / ValidAudience:签发者和受众,需与生成 Token 时一致。
  • IssuerSigningKey:对称密钥,务必保密!建议通过环境变量或 Azure Key Vault 管理。
  • ClockSkew:默认允许 5 分钟时钟偏差,此处设为 TimeSpan.Zero 以严格校验过期时间。

第三章:JWT Token 的“生成艺术”

3.1 登录接口生成 Token

[ApiController]
[Route("api/[controller]")]
public class AuthController : ControllerBase
{
    private readonly IConfiguration _config;

    public AuthController(IConfiguration config)
    {
        _config = config;
    }

    [HttpPost("login")]
    public IActionResult Login([FromBody] LoginModel model)
    {
        // 模拟用户验证
        if (model.Username != "admin" || model.Password != "password")
            return Unauthorized();

        // 构建 Claims
        var claims = new[]
        {
            new Claim(JwtRegisteredClaimNames.Sub, model.Username),
            new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
            new Claim(ClaimTypes.Role, "Admin") // 添加角色
        };

        // 配置 Token 参数
        var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config["Jwt:SecretKey"]));
        var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
        var expires = DateTime.Now.AddDays(7); // Token 有效期

        // 生成 Token
        var token = new JwtSecurityToken(
            issuer: _config["Jwt:Issuer"],
            audience: _config["Jwt:Audience"],
            claims: claims,
            expires: expires,
            signingCredentials: creds
        );

        return Ok(new
        {
            token = new JwtSecurityTokenHandler().WriteToken(token),
            expiration = token.ValidTo
        });
    }
}

关键注释

  • JwtRegisteredClaimNames:标准声明,如 sub(主体)、jti(唯一标识)。
  • ClaimTypes.Role:添加角色信息,用于后续授权。
  • expires:Token 过期时间,建议结合刷新 Token 机制延长会话。

第四章:权限控制的“双重奏”

4.1 基于角色的权限控制

使用 [Authorize(Roles = "Admin")] 限制特定角色访问:

[ApiController]
[Route("api/[controller]")]
[Authorize(Roles = "Admin")] // 仅 Admin 可访问
public class AdminController : ControllerBase
{
    [HttpGet]
    public IActionResult Get()
    {
        return Ok("欢迎管理员!这是机密信息。");
    }
}

4.2 自定义授权策略

Program.cs 中定义基于策略的授权规则:

builder.Services.AddAuthorization(options =>
{
    options.AddPolicy("Over18", policy =>
        policy.RequireAssertion(context =>
        {
            var user = context.User;
            var birthYearClaim = user.FindFirst("BirthYear");
            if (birthYearClaim == null)
                return false;

            int birthYear = int.Parse(birthYearClaim.Value);
            int currentYear = DateTime.Now.Year;
            return currentYear - birthYear >= 18;
        }));
});

在控制器中使用策略:

[ApiController]
[Route("api/[controller]")]
[Authorize(Policy = "Over18")] // 仅 18 岁以上用户可访问
public class ContentController : ControllerBase
{
    [HttpGet]
    public IActionResult Get()
    {
        return Ok("18+ 内容,请勿未成年人访问!");
    }
}

第五章:JWT 的“防坑指南”

5.1 常见问题及解决方案

5.1.1 问题:返回 401 未授权

原因

  • Token 过期
  • 签名错误(密钥不匹配)
  • 请求头未携带 Token

解决方案

  • 检查 SecretKey 是否与生成 Token 时一致
  • AddJwtBearer 中添加日志记录:
    .AddJwtBearer(options =>
{
    options.Events = new JwtBearerEvents
    {
        OnAuthenticationFailed = context =>
        {
            Console.WriteLine("JWT 认证失败: " + context.Exception.Message);
            return Task.CompletedTask;
        }
    };
})
5.1.2 问题:角色信息无法获取

原因

  • 未在 Token 中添加 ClaimTypes.Role
  • 未启用 SaveToken = true

解决方案

  • 确保生成 Token 时包含角色声明
  • AddJwtBearer 中启用 SaveToken
    options.SaveToken = true;

第六章:JWT 的“进阶玩法”

6.1 刷新 Token 机制

实现 Token 刷新以延长会话:

[HttpPost("refresh")]
public async Task<IActionResult> Refresh([FromBody] RefreshTokenModel model)
{
    // 验证旧 Token
    var principal = GetPrincipalFromExpiredToken(model.Token);
    if (principal == null)
        return Unauthorized();

    // 验证 RefreshToken(需自行存储,如数据库或 Redis)
    var storedRefreshToken = _context.RefreshTokens
        .FirstOrDefault(t => t.Token == model.RefreshToken && t.UserId == principal.Identity.Name);
    if (storedRefreshToken == null || storedRefreshToken.Expires < DateTime.Now)
        return Unauthorized();

    // 生成新 Token
    var newToken = GenerateToken(principal.Claims.ToList());
    var newRefreshToken = GenerateRefreshToken(principal.Identity.Name);

    // 更新 RefreshToken
    storedRefreshToken.Token = newRefreshToken;
    storedRefreshToken.Expires = DateTime.Now.AddDays(7);

    return Ok(new
    {
        token = newToken,
        refreshToken = newRefreshToken
    });
}

关键注释

  • GenerateToken:与登录时逻辑相同。
  • GenerateRefreshToken:生成长生命周期的 RefreshToken,需安全存储。

JWT 的“终极奥义”

“JWT 不是万能的,但没有 JWT 是万万不能的!”

  • 无状态认证:JWT 的核心优势,适用于分布式系统。
  • 角色+策略:灵活组合满足复杂权限需求。
  • 刷新机制:平衡安全性与用户体验。

最后的吐槽

  • “Token 生成后怎么存?Local Storage vs Cookie?”
  • “密钥泄露了怎么办?快去换 Key Vault!”
  • “JWT 能加密吗?其实 JWE 才是正解!”
后端分离5步成神:ASP.NET Core + Vue.js VS 单体架构,谁才是栈王者?
java专栏
07-16 829
ASP.NET Core + Vue.js栈开发五步指南》摘要: 本文提供从搭建到部署的栈开发路线图: 1️⃣ 双项目架构:通过VS模板或CLI分别创建ASP.NET Core API与Vue前端项目 2️⃣ 数据交互:使用Axios调用RESTful API(示例含C#控制器与Vue组件代码) 3️⃣ 身份验证:JWT方案实现(含ASP.NET Core配置与Vue请求拦截器) 4️⃣ 部署方案:跨域配置、静态文件构建及Docker云端部署要点 5️⃣ 性能优化:推荐分层架构(API/Service
ASP.NET Core 实战JWT 身份验证,到底难不难?
java专栏
10-11 851
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安地传输信息。它是一个紧凑、自包含的令牌,用于传输信息。JWT 由三个部分组成:头部(Header)、负载(Payload)和签名(Signature)。头部(Header):包含了令牌的类型和签名算法的信息。负载(Payload):包含了实际需要传输的数据。签名(Signature):用于验证数据的完整性和签发者的身份。
ASP.NET Core 实战:基于 Jwt Token权限控制揭露
寒冰屋的专栏
05-29 125
ASP.NET Core 实战:基于 Jwt Token权限控制揭露
【转】ASP.NET Core 实战:基于 Jwt Token权限控制揭露
new Girl的博客
07-26 578
【转】https://www.cnblogs.com/danvic712/p/10331976.html?tdsourcetag=s_pcqq_aiomsg ASP.NET Core 实战:基于 Jwt Token权限控制揭露 一、前言# 在涉及到后端项目的开发中,如何实现对于用户权限的管控是需要我们首先考虑的,在实际开发过程中,我们可能会运用一些已经成熟的解决方案帮助我们实现这一功...
ASP.NET Core 实战:基于 Dapper 扩展你的数据访问方法
weixin_30340775的博客
02-25 255
一、前言   在非静态页面的项目开发中,必定会涉及到对于数据库的访问,最开始呢,我们使用 Ado.Net,通过编写 SQL 帮助类帮我们实现对于数据库的快速访问,后来,ORM(Object Relational Mapping,对象关系映射)出现了,我们开始使用 EF、Dapper、NHibernate,亦或是国人的 SqlSugar 代替我们原来的 SqlHelper.cs。通过这些 ORM...
ASP.NET CORE 第十篇 JWT完美实现权限与接口的动态分配
雨中深巷的油纸伞
12-30 4464
原文作者:老张的哲学 一、JWT授权验证,我们经历了哪些 看过我写的这个第一个系列《前后端分离》的小伙伴都知道,我用到了JWT来实现的权限验证,目前已经达到什么程度的验证了呢,这里我经历了三个步骤: 这里强调下,如果你是第一次看这个文章,除非是有一定的基础,或者是一直跟着我的代码的,不然的话,会有点儿懵,如果不满足上边两个条件,请先看我之前的两篇文章,基础: 1、五 || Swagger...
ASP.NET Core 实战:基于 Dapper 扩展你的数据访问方法 ...
测试0901-1
02-25 2106
ASP.NET Core 实战:基于 Dapper 扩展你的数据访问方法 一、前言 在非静态页面的项目开发中,必定会涉及到对于数据库的访问,最开始呢,我们使用 Ado.Net,通过编写 SQL 帮助类帮我们实现对于数据库的快速访问,后来,ORM(Object Relational Mapping,对象关系映射)出现了,我们开始使用 EF、Dapper、...
ASP.NET Core 项目实战(持续更新~~~)
weixin_30680385的博客
12-18 2841
一、前言   准备写这个系列文章的设想开始于今年9月,毫无意外,期间又又又又拖了很长时间,文章主要是为了记录自己学习使用 ASP.NET Core Web API 与 Vue 创建一个前后端分离的项目的整个过程。嗯,2018年快要结束了,应该能在 .NET Core 3.0 正式版和 Vue 3.0 正式版发布前完成吧。。。   代码仓储地址:https://github.com/Lanes...
c语言中项目过期怎么办,C# - 关于过期Token的解决方案
weixin_28752709的博客
05-22 1312
使用static来定义变量和过期时间//===================== 初始化静态数据 ==========================#regionprivate static DateTime TokenExpTime = DateTime.Now.AddDays(-); //Access_Token过期时间private static string Access_Tok...
近期笔记
paolei的笔记
09-12 328
1. core 网关认证相关 微服务架构下的统一身份认证和授权https://my.oschina.net/bochs/blog/2248956 asp.net core 自定义认证方式--请求头认证https://www.jianshu.com/p/9649354c43b1 Spring Cloud下微服务权限方案https://zhuanlan.zhihu.com/p/29345...
ASP .NET Core实战-集成JWT鉴权完整代码
05-11
ASP.NET Core是一种开源、跨平台的服务器端框架,用于构建现代、云优化、基于微服务的Web应用程序。它是由微软维护的.NET框架的一部分,特别适合于构建RESTful API和微服务。ASP.NET Core的一大优势在于其跨平台能力...
ASP.NET Core 实战JWT 身份验证
博客
01-18 2075
ASP.NET Core 实战JWT 身份验证
ASP.NET Core实战:基于Token的身份验证教程
"本文档主要介绍了如何在ASP.NET Core中实现基于Token的身份认证,特别是使用JwtSecurityTokenHandler来创建Bearer Token的实例。" 在ASP.NET Core中,身份验证机制的实现可以多样化,传统的Cookie和Session方式在...
内网穿透工具【frp】的核心功能底层处理逻辑解析
Ciel_7521的博客
08-28 1023
本文详细介绍了frp(Fast Reverse Proxy)的技术架构与核心实现原理。该反向代理工具采用C/S架构,包含服务端(frps)和客户端(frpc)两大组件,通过ControlManager、ProxyManager等核心模块实现内网穿透功能。文章重点解析了连接建立、消息处理、代理管理三大核心流程:1)客户端通过Login消息建立控制连接;2)基于消息分发器的多路复用机制处理通信;3)代理工厂模式管理代理生命周期。此外还介绍了心跳保活、P2P模式等高级功能,包括NAT类型检测和穿透算法选择。文档通
Java项目实现【记录系统操作日志】功能
casually的博客
08-29 688
以上就是通过SpringAOP切面编程,实现【记录系统操作日志】功能的详细流程,喜欢的话可以留个免费的关注呦~~~
【OKR模板】季度 OKR 模板(后端开发)
子冉冰清的博客
08-29 302
(例如:提升核心业务服务性能与稳定性)
nginx(自写)
最新发布
2301_80355452的博客
08-30 1038
浏览器只要识别到文件是HTML,就会解析里面的标签,这样就有了标题,输入框等各种丰富的内容了,这其实就是我们在浏览器中看到的网页,但不同的是,这个HTML文件是浏览器从我们本地电脑文件中打开的,而我们平时访问的网页,则是从某台远端服务器,将文件传到我们电脑的浏览器后打开的。那么我们是怎么获得这个远端服务器上的HTML文件的,没有什么是不能加一层中间层解决的,如果有就是再加一层,这次加的是nginx。
Coze用户账号设置修改语言-后端源码
lypzcgf的专栏
08-28 609
本文分析了Coze Studio用户语言设置修改功能的后端实现架构与技术链路。系统采用分层设计,从IDL接口定义层到数据存储层,完整覆盖了语言设置修改的流程。核心流程包括:前端发起请求、API网关接收、应用服务协调、领域服务验证处理、数据访问更新及响应返回。关键技术涉及Thrift IDL接口设计、分层架构协调、GORM数据访问以及多语言支持的后端业务规则实现,为现代化多语言应用的用户偏好设置提供了完整的解决方案。
kuberentes框架
y_f_6的博客
08-30 215
kube-controller-manager 管理cluster的资源,kube-controller-manager由多种controller组成,包括replication controller、namespacecontroller等。kubelet 是Node的agent,当Scheduler确定在某个Node上运行Pod后,会将Pod的具体配置信息(image、volume等)发送给该节点的kubelet,kubelet根据这些信息创建和运行容器,并向Master报告运行状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨瑾轩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值