.NET中的JWT认证是什么？如何在Web API中实现Token验证？

煙雲

发布时间：2025-11-19 15:19:06

857人浏览过

来源于php中文网

原创

JWT是安全传输信息的开放标准，在.NET Web API中用于身份认证。用户登录后服务器返回JWT，客户端在后续请求中携带该Token以验证身份。JWT由Header、Payload和Signature三部分组成，通过点分隔。在ASP.NET Core中启用JWT需安装Microsoft.AspNetCore.Authentication.JwtBearer包，在Program.cs中配置认证授权服务，并设置TokenValidationParameters参数，包括签发者、受众、密钥及签名算法等。同时在appsettings.json中定义Jwt:Key、Issuer和Audience。登录成功后使用JwtSecurityTokenHandler生成Token并返回给客户端。受保护的API接口添加[Authorize]特性，确保只有携带有效Token的请求可访问。建议密钥至少32字符，设置合理过期时间，结合刷新Token机制提升安全性，前端存储推荐HttpOnly Cookie防止XSS攻击。.NET自动解析Authorization头（Bearer模式），开发者聚焦业务逻辑即可。

.net中的jwt认证是什么？如何在web api中实现token验证？

JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在各方之间安全地传输信息作为JSON对象。在.NET的Web API中，JWT常用于身份认证：用户登录后服务器返回一个Token，客户端后续请求携带该Token，服务端验证其有效性来判断用户身份。

JWT的基本结构

一个JWT由三部分组成，用点（.）分隔：

Header：包含令牌类型和签名算法（如HS256）
Payload：包含声明（claims），比如用户ID、角色、过期时间等
Signature：对前两部分的签名，确保内容未被篡改

例如：xxxxx.yyyyy.zzzzz

在.NET Web API中启用JWT验证

以ASP.NET Core为例，实现步骤如下：

1. 安装必要包

确保项目已引用JWT认证支持，通常通过NuGet安装以下包（.NET 6+已内置）：

Microsoft.AspNetCore.Authentication.JwtBearer

2. 配置JWT认证服务

在 Program.cs 中添加认证和授权服务：

DeepSeek

幻方量化公司旗下的开源大模型平台

下载

var builder = WebApplication.CreateBuilder(args);

// 添加认证服务
builder.Services.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidIssuer = builder.Configuration["Jwt:Issuer"],
ValidAudience = builder.Configuration["Jwt:Audience"],
IssuerSigningKey = new SymmetricSecurityKey(
Encoding.UTF8.GetBytes(builder.Configuration["Jwt:Key"]))
};
});

// 添加授权服务
builder.Services.AddAuthorization();

var app = builder.Build();

// 启用认证和授权中间件
app.UseAuthentication();
app.UseAuthorization();

3. 在appsettings.json中配置JWT参数

"Jwt": {
"Key": "your-very-secret-key-that-is-long-enough",
"Issuer": "https://localhost:5001",
"Audience": "https://localhost:5001"
}

4. 生成Token（例如在登录接口）

当用户登录成功时，生成并返回JWT：

[HttpPost("login")]
public IActionResult Login([FromBody] LoginModel model)
{
// 验证用户名密码（此处省略）
if (IsValidUser(model.Username, model.Password))
{
var tokenDescriptor = new SecurityTokenDescriptor
{
Subject = new ClaimsIdentity(new[]
{
new Claim(ClaimTypes.Name, model.Username),
new Claim(ClaimTypes.Role, "User")
}),
Expires = DateTime.UtcNow.AddHours(1),
Issuer = Configuration["Jwt:Issuer"],
Audience = Configuration["Jwt:Audience"],
SigningCredentials = new SigningCredentials(
new SymmetricSecurityKey(
Encoding.UTF8.GetBytes(Configuration["Jwt:Key"])),
SecurityAlgorithms.HmacSha256)
};

var handler = new JwtSecurityTokenHandler();
var token = handler.CreateToken(tokenDescriptor);
var tokenString = handler.WriteToken(token);

return Ok(new { Token = tokenString });
}
return Unauthorized();
}

5. 在受保护的API上使用[Authorize]特性

[Authorize]
[HttpGet("secure-data")]
public IActionResult GetSecureData()
{
return Ok(new { Message = "This is protected data." });
}

此时，只有携带有效JWT的请求才能访问该接口。

常见问题与建议

确保密钥（Key）足够长且保密，建议至少32字符
设置合理的Token过期时间，避免长期有效带来的安全风险
敏感操作建议结合刷新Token机制，提升安全性
前端存储Token推荐使用HttpOnly Cookie或内存变量，避免XSS攻击

基本上就这些。只要配置好认证中间件和参数，.NET会自动解析和验证请求中的Authorization头（格式为 Bearer ），开发者只需关注业务逻辑和权限控制。

MAUI怎么从JavaScript调用C#代码 WebView与MAUI通信

Blazor 怎么调用浏览器 API (如地理位置)

Blazor 怎么集成 Ant Design Blazor

c# 如何执行 javascript 脚本

Blazorise 集成和配置教程

相关标签:

word js 前端 json go cookie app mac ai microsoft 常见问题安全传输中间件 json xss if Cookie Token 接口 public protected var 对象 this 算法 https microsoft

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：C#的WPF是什么？如何创建现代化的Windows桌面应用？下一篇：.NET如何使用Dapper执行原生SQL查询_Dapper执行SQL查询指南

作者最新文章

Word里带框的对勾怎么打？新手必看设置技巧

2026-01-11 13:30

哔哩轻小说在线阅读入口_无限书币阅读版

2026-01-11 13:44

初中综合素质评价平台入口学生个人空间登录

2026-01-11 13:45

正则表达式删除_正则表达式在文本删除操作中的应用

2026-01-11 13:55

免费学Java的网站_完全免费的Java学习资源网站推荐

2026-01-11 14:38

抖音互动率怎么提高抖音引导用户点赞评论转发话术【技巧】

2026-01-11 15:04

餐饮住宿发票怎么查真伪生活服务类发票在线查验步骤【教程】

2026-01-11 15:05

Photoshop画的直线模糊怎么办 PS画清晰直线技巧

2026-01-11 15:11

美团众包官网登录平台美团众包网页版登录入口

2026-01-11 15:13

抖音发福袋怎么吸引人气抖音福袋热门玩法技巧

2026-01-11 15:19

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI大模型

开放平台

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI大模型

腾讯元宝

腾讯混元平台推出的AI助手

文档处理

Excel 表格

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI大模型

中文写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

中文写作

写作工具

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接

图画生成

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI大模型

中文写作

智谱清言 - 免费全能的AI助手

AI大模型

PDF 文档

相关专题

什么是中间件

中间件是一种软件组件，充当不兼容组件之间的桥梁，提供额外服务，例如集成异构系统、提供常用服务、提高应用程序性能，以及简化应用程序开发。想了解更多中间件的相关内容，可以阅读本专题下面的文章。

176

2024.05.11

Golang 中间件开发与微服务架构

本专题系统讲解 Golang 在微服务架构中的中间件开发，包括日志处理、限流与熔断、认证与授权、服务监控、API 网关设计等常见中间件功能的实现。通过实战项目，帮助开发者理解如何使用 Go 编写高效、可扩展的中间件组件，并在微服务环境中进行灵活部署与管理。

212

2025.12.18

json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章，帮助大家解决问题。

408

2023.08.07

json是什么

JSON是一种轻量级的数据交换格式，具有简洁、易读、跨平台和语言的特点，JSON数据是通过键值对的方式进行组织，其中键是字符串，值可以是字符串、数值、布尔值、数组、对象或者null，在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容，供大家免费下载体验。

532

2023.08.23

jquery怎么操作json

操作的方法有：1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”；3、“$.each(obj, callback)”；4、“$.ajax()”。更多jquery怎么操作json的详细内容，可以访问本专题下面的文章。

309

2023.10.13

go语言处理json数据方法

本专题整合了go语言中处理json数据方法，阅读专题下面的文章了解更多详细内容。

2025.09.10

if什么意思

if的意思是“如果”的条件。它是一个用于引导条件语句的关键词，用于根据特定条件的真假情况来执行不同的代码块。本专题提供if什么意思的相关文章，供大家免费阅读。

731

2023.08.22

Cookie 是一种在用户计算机上存储小型文本文件的技术，用于在用户与网站进行交互时收集和存储有关用户的信息。当用户访问一个网站时，网站会将一个包含特定信息的 Cookie 文件发送到用户的浏览器，浏览器会将该 Cookie 存储在用户的计算机上。之后，当用户再次访问该网站时，浏览器会向服务器发送 Cookie，服务器可以根据 Cookie 中的信息来识别用户、跟踪用户行为等。

6415

2023.06.30