.NET中的JWT认证是什么？如何在Web API中实现Token验证？-C#.Net教程-PHP中文网

.NET中的JWT认证是什么？如何在Web API中实现Token验证？

煙雲

发布： 2025-11-19 15:19:06

原创

572人浏览过

JWT是安全传输信息的开放标准，在.NET Web API中用于身份认证。用户登录后服务器返回JWT，客户端在后续请求中携带该Token以验证身份。JWT由Header、Payload和Signature三部分组成，通过点分隔。在ASP.NET Core中启用JWT需安装Microsoft.AspNetCore.Authentication.JwtBearer包，在Program.cs中配置认证授权服务，并设置TokenValidationParameters参数，包括签发者、受众、密钥及签名算法等。同时在appsettings.json中定义Jwt:Key、Issuer和Audience。登录成功后使用JwtSecurityTokenHandler生成Token并返回给客户端。受保护的API接口添加[Authorize]特性，确保只有携带有效Token的请求可访问。建议密钥至少32字符，设置合理过期时间，结合刷新Token机制提升安全性，前端存储推荐HttpOnly Cookie防止XSS攻击。.NET自动解析Authorization头（Bearer模式），开发者聚焦业务逻辑即可。

.net中的jwt认证是什么？如何在web api中实现token验证？

JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在各方之间安全地传输信息作为JSON对象。在.NET的Web API中，JWT常用于身份认证：用户登录后服务器返回一个Token，客户端后续请求携带该Token，服务端验证其有效性来判断用户身份。

JWT的基本结构

一个JWT由三部分组成，用点（.）分隔：

Header：包含令牌类型和签名算法（如HS256）
Payload：包含声明（claims），比如用户ID、角色、过期时间等
Signature：对前两部分的签名，确保内容未被篡改

例如：xxxxx.yyyyy.zzzzz

在.NET Web API中启用JWT验证

以ASP.NET Core为例，实现步骤如下：

1. 安装必要包

确保项目已引用JWT认证支持，通常通过NuGet安装以下包（.NET 6+已内置）：

Microsoft.AspNetCore.Authentication.JwtBearer

2. 配置JWT认证服务

在 Program.cs 中添加认证和授权服务：

Kits AI

Kits.ai 是一个为音乐家提供一站式AI音乐创作解决方案的网站，提供AI语音生成和免费AI语音训练

413

查看详情

var builder = WebApplication.CreateBuilder(args);

// 添加认证服务
builder.Services.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidIssuer = builder.Configuration["Jwt:Issuer"],
ValidAudience = builder.Configuration["Jwt:Audience"],
IssuerSigningKey = new SymmetricSecurityKey(
Encoding.UTF8.GetBytes(builder.Configuration["Jwt:Key"]))
};
});

// 添加授权服务
builder.Services.AddAuthorization();

var app = builder.Build();

// 启用认证和授权中间件
app.UseAuthentication();
app.UseAuthorization();

3. 在appsettings.json中配置JWT参数

"Jwt": {
"Key": "your-very-secret-key-that-is-long-enough",
"Issuer": "https://localhost:5001",
"Audience": "https://localhost:5001"
}

4. 生成Token（例如在登录接口）

当用户登录成功时，生成并返回JWT：

[HttpPost("login")]
public IActionResult Login([FromBody] LoginModel model)
{
// 验证用户名密码（此处省略）
if (IsValidUser(model.Username, model.Password))
{
var tokenDescriptor = new SecurityTokenDescriptor
{
Subject = new ClaimsIdentity(new[]
{
new Claim(ClaimTypes.Name, model.Username),
new Claim(ClaimTypes.Role, "User")
}),
Expires = DateTime.UtcNow.AddHours(1),
Issuer = Configuration["Jwt:Issuer"],
Audience = Configuration["Jwt:Audience"],
SigningCredentials = new SigningCredentials(
new SymmetricSecurityKey(
Encoding.UTF8.GetBytes(Configuration["Jwt:Key"])),
SecurityAlgorithms.HmacSha256)
};

var handler = new JwtSecurityTokenHandler();
var token = handler.CreateToken(tokenDescriptor);
var tokenString = handler.WriteToken(token);

return Ok(new { Token = tokenString });
}
return Unauthorized();
}

5. 在受保护的API上使用[Authorize]特性

[Authorize]
[HttpGet("secure-data")]
public IActionResult GetSecureData()
{
return Ok(new { Message = "This is protected data." });
}

此时，只有携带有效JWT的请求才能访问该接口。