答案:.NET Web API 中常用 JWT 实现身份验证,通过 AddJwtBearer 配置令牌验证参数,并在登录时生成带用户信息的 Token;启用 UseAuthentication 与 UseAuthorization 中间件后,可结合 [Authorize(Roles)] 或自定义策略实现基于角色或声明的授权;对于完整用户体系,推荐集成 ASP.NET Core Identity 管理用户和角色;此外,还可选用 OAuth 2.0、API Key 或 Basic Auth 方案,需根据场景选择并确保 HTTPS 加密与 Token 安全。
在构建 .NET Web API 应用时,实现安全的身份验证和授权是保障系统数据安全的关键环节。合理的方案不仅能防止未授权访问,还能支持灵活的权限控制。以下是几种常见且实用的身份验证与授权实现方式。
使用 JWT Bearer Token 实现身份验证
JWT(JSON Web Token)是目前 Web API 中最常用的身份验证机制之一。用户登录后,服务器生成一个包含用户信息的加密 Token 并返回给客户端,后续请求通过 HTTP 头部中的 Authorization: Bearer
在 .NET 中启用 JWT 验证:
- 安装 NuGet 包:Microsoft.AspNetCore.Authentication.JwtBearer
- 在 Program.cs 中配置认证服务:
{
options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidIssuer = "your-issuer",
ValidAudience = "your-audience",
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your-secret-key"))
};
});
// 启用认证中间件
app.UseAuthentication();
app.UseAuthorization();
- 登录接口生成 Token 示例:
issuer: "your-issuer",
audience: "your-audience",
claims: new[] { new Claim(ClaimTypes.Name, username) },
expires: DateTime.Now.AddMinutes(30),
signingCredentials: new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your-secret-key")), SecurityAlgorithms.HmacSha256)
);
return Ok(new { token = new JwtSecurityTokenHandler().WriteToken(token) });
基于角色或策略的授权控制
在完成身份验证后,通常需要进一步限制用户能访问的资源。.NET 提供了基于角色(Role-based)和策略(Policy-based)的授权机制。
- 启用授权服务后,可在控制器或方法上添加 [Authorize] 特性
- 按角色限制访问:
[HttpGet("admin-data")]
public IActionResult GetAdminData()
{
return Ok("Only admins can see this.");
}
- 定义自定义策略(如要求邮箱验证):
builder.Services.AddAuthorization(options =>
{
options.AddPolicy("EmailVerified", policy =>
policy.RequireClaim("email_verified", "true"));
}); // 使用策略
[Authorize(Policy = "EmailVerified")]
[HttpGet("verified-user")]
public IActionResult GetVerifiedData()
结合 Identity 实现用户管理
对于需要完整用户体系的应用,推荐使用 ASP.NET Core Identity。它内置了用户注册、登录、角色管理、密码哈希等功能,可与 Entity Framework 集成。
- 添加 Identity 服务:
.AddEntityFrameworkStores
- 配合 Identity 登录后生成 JWT 或使用 Cookie 认证
- 可通过 UserManager 和 SignInManager 管理用户生命周期
其他可选方案
- OAuth 2.0 / OpenID Connect:适用于第三方登录(如 Google、GitHub),可使用 Microsoft.Identity.Web 集成 Azure AD 或外部提供者
- API Key 验证:适合服务间调用,通过请求头校验固定密钥
- Basic Authentication:简单但不推荐用于公网,需配合 HTTPS 使用
基本上就这些。选择哪种方案取决于应用场景:内部系统可用 API Key,多租户平台建议 JWT + Identity,集成企业登录则考虑 OAuth。关键是确保传输加密(HTTPS)、Token 安全存储与合理过期策略。
