C#如何实现OAuth 2.0客户端 C# OAuth 2.0授权码模式

授权码模式是最安全的OAuth 2.0流程，用户登录授权后重定向返回code，后端用code+client_id/client_secret换取access_token，再安全存储并代理调用API。

理解授权码模式的核心流程

授权码模式（Authorization Code Flow）是OAuth 2.0中最安全、最常用的客户端认证方式，特别适合有后端服务的Web应用。它不直接暴露访问令牌（Access Token）给前端，而是通过中间“授权码”（Authorization Code）中转，由后端用该码向授权服务器换令牌。

关键步骤：用户跳转到授权服务器登录 → 授权成功后重定向回你的回调地址并附带code → 你的后端用code + client_id/client_secret向授权服务器请求access_token → 拿到token后调用受保护API。

准备客户端凭据与注册回调地址

在使用前，必须在目标授权服务器（如GitHub、Google、或自建IdentityServer）上注册你的应用，获取：

• Client ID（公开标识，可出现在前端）
• Client Secret（敏感信息，只用于后端，绝不能写在JS或客户端代码里）
• Redirect URI（必须精确匹配，含协议、域名、路径甚至尾部斜杠；例如https://yourapp.com/auth/callback）

注意：开发时本地调试常用http://localhost:5000/auth/callback，但需在平台白名单中显式添加，部分平台（如Google）不接受纯localhost或带端口的HTTP回调，此时可用http://127.0.0.1:5000/...或临时启用HTTPS。

后端实现授权码交换（以ASP.NET Core为例）

在控制器中处理回调请求，用HttpClient向授权服务器的/token端点发起POST请求，传入code、client_id、client_secret、redirect_uri和grant_type。

Z Code

智谱AI推出的轻量级AI代码编辑器

下载

示例（简化版，生产环境建议用IHttpClientFactory和强类型模型）：

// 假设已从Query中获取 code
var tokenRequest = new Dictionary
{
    ["grant_type"] = "authorization_code",
    ["code"] = code,
    ["redirect_uri"] = "https://yourapp.com/auth/callback",
    ["client_id"] = "your_client_id",
    ["client_secret"] = "your_client_secret"
};

using var client = new HttpClient();
var response = await client.PostAsync(
    "https://auth.example.com/oauth/token",
    new FormUrlEncodedContent(tokenRequest)
);

var json = await response.Content.ReadAsStringAsync();
// 解析返回的JSON，提取 access_token、expires_in、refresh_token等

推荐用Newtonsoft.Json或System.Text.Json反序列化响应，检查response.IsSuccessStatusCode，并妥善处理错误（如invalid_grant、invalid_client）。

安全存储与使用令牌

拿到access_token后，不要存入Cookie或LocalStorage（易被XSS窃取）。推荐方式：

• 后端会话（Session）或分布式缓存（如Redis），绑定当前用户ID
• 若需前端调用API，由后端代理请求（即前端请求/api/me，后端用token去调https://api.example.com/me）
• 如必须透传token给前端，使用HttpOnly+Secure Cookie存放，并配合SameSite=Lax

记得校验token有效期（expires_in字段），必要时用refresh_token静默刷新——同样需后端发起，且refresh_token通常单次有效、需轮换。