C#中运用JWT用户认证的实现

更新时间：2025年11月27日 10:22:04 作者：阿登林

本文主要介绍了C#中运用JWT用户认证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

一、JWT概述

JSON Web Token（JWT）是一种轻量级的身份认证机制，广泛应用于分布式系统中的用户认证。它通过紧凑的JSON格式存储用户身份信息，并使用数字签名确保信息的完整性和真实性。与传统的基于Session的认证相比，JWT具有无状态、可扩展、跨平台等优势，特别适合于微服务架构和前后端分离的应用场景。

JWT的核心优势在于：

无状态：服务器不需要存储会话信息，减轻服务器负担
跨平台：基于标准JSON格式，可在不同语言和平台间传递
自包含：令牌包含所有必要的用户信息，减少数据库查询
可扩展：支持自定义声明，满足不同业务需求
安全性：通过数字签名确保信息不被篡改

二、JWT工作原理

JWT认证的核心流程如下：

用户登录：用户提供用户名和密码进行登录
生成Token：服务器验证成功后，生成包含用户身份信息的JWT令牌
返回Token：服务器将JWT令牌返回给客户端
存储Token：客户端存储JWT令牌（通常存储在localStorage或Cookie中）
请求携带Token：客户端后续请求时，在HTTP头部携带JWT令牌
验证Token：服务器验证JWT令牌的有效性（签名验证、过期时间检查等）
处理请求：验证通过后，服务器处理请求并返回结果

JWT认证流程图

+----------+     登录请求      +----------+
|          | -------------->  |          |
| 客户端   |                   | 服务器   |
|          | <--------------  |          |
+----------+   返回JWT令牌     +----------+
       |                                 |
       |   携带JWT令牌的请求               |
       | ----------------------------->  |
       |                                 |
       | <-----------------------------  |
       |        处理后的响应               |
       v                                 v

三、JWT结构组成

JWT令牌由三部分组成，用小数点(.)分隔，格式为Header.Payload.Signature：

1. Header（头部）

Header部分包含令牌类型（typ）和加密算法（alg），通常如下：

{
  "alg": "HS256",
  "typ": "JWT"
}

其中，alg表示使用的加密算法（如HS256、RS256等），typ表示令牌类型。

2. Payload（载荷）

Payload部分包含用户身份信息和其他元数据，分为标准声明和自定义声明：

标准声明：

iss：令牌颁发者
sub：令牌主题（通常是用户ID）
aud：令牌受众
exp：令牌过期时间
iat：令牌颁发时间
nbf：令牌生效时间
jti：令牌唯一标识符

自定义声明：根据业务需求定义的字段，如用户角色、权限等。

示例：

{
  "sub": "1234567890",
  "name": "John Doe",
  "role": "admin",
  "exp": 1678900000
}

3. Signature（签名）

Signature部分是对Header和Payload的签名，用于验证令牌的完整性和真实性。服务器使用Header中指定的算法，结合密钥对Header和Payload进行签名：

PlainText
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secretKey
)

四、C#中实现JWT认证

1. 安装必要的包

在C#项目中，我们需要安装以下NuGet包：

System.IdentityModel.Tokens.Jwt：用于生成和验证JWT令牌
Microsoft.AspNetCore.Authentication.JwtBearer：提供JWT身份验证中间件

Install-Package System.IdentityModel.Tokens.Jwt
Install-Package Microsoft.AspNetCore.
Authentication.JwtBearer

2. 配置JWT认证服务

在Program.cs文件中，添加JWT认证服务配置：

Program.cs 
using Microsoft.AspNetCore.Authentication.
JwtBearer;
using Microsoft.IdentityModel.Tokens;
using System.Text;

var builder = WebApplication.CreateBuilder(args);

// 添加JWT认证服务
builder.Services.AddAuthentication
(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(options =>
    {
        options.TokenValidationParameters = new 
        TokenValidationParameters
        {
            ValidateIssuer = true, // 验证颁发者
            ValidateAudience = true, // 验证受众
            ValidateLifetime = true, // 验证过期时
            间
            ValidateIssuerSigningKey = true, // 验
            证签名密钥
            ValidIssuer = builder.Configuration
            ["Jwt:Issuer"], // 颁发者
            ValidAudience = builder.Configuration
            ["Jwt:Audience"], // 受众
            IssuerSigningKey = new 
            SymmetricSecurityKey(Encoding.UTF8.
            GetBytes(builder.Configuration
            ["Jwt:SecretKey"])) // 签名密钥
        };
    });

// 添加授权服务
builder.Services.AddAuthorization();

var app = builder.Build();

// 使用认证和授权中间件
app.UseAuthentication();
app.UseAuthorization();

app.MapControllers();
app.Run();

3. 配置appsettings.json

在appsettings.json文件中添加JWT相关配置：

appsettings.json
应用
{
  "Jwt": {
    "Issuer": "YourIssuer",
    "Audience": "YourAudience",
    "SecretKey": 
    "YourSecretKeyHereShouldBeLongEnough"
  },
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*"
}

4. 生成JWT令牌

创建一个AuthController，实现用户登录和生成JWT令牌的功能：

AuthController.cs

using Microsoft.AspNetCore.Mvc;
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;

[ApiController]
[Route("api/[controller]")]
public class AuthController : ControllerBase
{
    private readonly IConfiguration 
    _configuration;

    public AuthController(IConfiguration 
    configuration)
    {
        _configuration = configuration;
    }

    [HttpPost("login")]
    public IActionResult Login([FromBody] 
    LoginRequest request)
    {
        // 验证用户凭据（实际应用中应查询数据库）
        if (request.Username == "admin" && 
        request.Password == "password")
        {
            // 创建用户声明
            var claims = new[]
            {
                new Claim(ClaimTypes.Name, 
                request.Username),
                new Claim(ClaimTypes.Role, 
                "admin"),
                new Claim(JwtRegisteredClaimNames.
                Sub, "1234567890"),
                new Claim(JwtRegisteredClaimNames.
                Jti, Guid.NewGuid().ToString())
            };

            // 生成对称安全密钥
            var key = new SymmetricSecurityKey
            (Encoding.UTF8.GetBytes(_configuration
            ["Jwt:SecretKey"]));

            // 生成签名凭据
            var creds = new SigningCredentials
            (key, SecurityAlgorithms.HmacSha256);

            // 创建JWT令牌
            var token = new JwtSecurityToken(
                issuer: _configuration
                ["Jwt:Issuer"],
                audience: _configuration
                ["Jwt:Audience"],
                claims: claims,
                expires: DateTime.Now.AddMinutes
                (30),
                signingCredentials: creds);

            // 返回JWT令牌
            return Ok(new
            {
                token = new 
                JwtSecurityTokenHandler().
                WriteToken(token),
                expiration = token.ValidTo
            });
        }

        return Unauthorized();
    }
}

public class LoginRequest
{
    public string Username { get; set; }
    public string Password { get; set; }
}

5. 保护API端点

使用[Authorize]属性保护API端点，只有携带有效JWT令牌的请求才能访问：

ValuesController.cs

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;

[ApiController]
[Route("api/[controller]")]
[Authorize]
public class ValuesController : ControllerBase
{
    [HttpGet]
    public IActionResult Get()
    {
        return Ok(new string[] { "value1", 
        "value2" });
    }

    [HttpGet("{id}")]
    [Authorize(Roles = "admin")]
    public IActionResult Get(int id)
    {
        return Ok($"value {id}");
    }
}

五、JWT认证的注意事项

密钥安全：确保JWT密钥安全存储，避免硬编码在代码中
令牌过期时间：设置合理的令牌过期时间，平衡安全性和用户体验
HTTPS传输：使用HTTPS协议传输JWT令牌，防止中间人攻击
令牌刷新机制：实现令牌刷新机制，避免用户频繁登录
敏感信息：不要在JWT中存储敏感信息，如密码等
权限控制：结合角色和权限声明，实现细粒度的访问控制

到此这篇关于C#中运用JWT用户认证的实现的文章就介绍到这了,更多相关C# JWT用户认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

c++指针使用形参改变实参的方法
下面小编就为大家带来一篇c++指针使用形参改变实参的方法。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-03-03
使用C#代码在Excel文件中添加工作表
在处理现有的 Excel 文件或从零创建 Excel 文件时,我们可能需要添加一个或多个工作表来记录数据,本文将演示如何使用 Spire.XLS for .NET 库在 C# 和 VB.NET 中向 Excel 添加工作表,需要的朋友可以参考下
2025-11-11
C# 实现WebSocket服务端教程
这篇文章主要介绍了C# 实现WebSocket服务端教程，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2020-10-10
C#中的Task.WhenAll和Task.WhenAny方法介绍
这篇文章介绍了C#中的Task.WhenAll和Task.WhenAny方法，文中通过示例代码介绍的非常详细。对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2022-04-04
c# 生成文字图片和合并图片的示例
这篇文章主要介绍了c# 生成文字图片和合并图片的示例，帮助大家更好的利用c#处理图片，感兴趣的朋友可以了解下
2020-12-12
C#实现控制摄像头的类
这篇文章主要介绍了C#实现控制摄像头的类,涉及C#操作摄像头的初始化、抓图、录像等功能,具有一定参考借鉴价值,需要的朋友可以参考下
2015-09-09
Unity实现植物识别示例详解
这篇文章主要介绍了如何通过Unity接入百度AI实现植物识别，接口返回植物的名称，并支持获取识别结果对应的百科信息。感兴趣的可以了解一下
2022-01-01
C#代码实现为PDF文档添加印章
为 PDF 文档添加印章可以增强文档的视觉效果,并传达诸如审批、机密或紧急等重要信息,本文将介绍如何使用 C# 为 PDF 文档添加印章,感兴趣的小伙伴可以了解下
2026-05-05
C# Winform实现导入和导出Excel文件
这篇文章主要为大家详细介绍了C# Winform实现导入和导出Excel文件，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2018-12-12
C# Word 类库的深入理解
本篇文章是对C#中的Word类库进行了详细的分析介绍，需要的朋友参考下
2013-05-05