当前位置：首页 > news >正文

ASP.NET Core实现鉴权授权的几个库

news 文章来源：https://blog.csdn.net/qq_39427511/article/details/144367916 2025/1/11 20:00:43

System.IdentityModel.Tokens.Jwt 和 Microsoft.AspNetCore.Authentication.JwtBearer 是两个常用的库，分别用于处理 JWT（JSON Web Token）相关的任务。它们在功能上有一定重叠，但侧重点和使用场景有所不同。

1. System.IdentityModel.Tokens.Jwt

功能：

System.IdentityModel.Tokens.Jwt 是一个底层的库，专门用于创建、解析和验证 JWT。它不依赖于 ASP.NET Core 的身份验证框架，适用于任何需要手动处理 JWT 逻辑的场景。这意味着你可以在任意类型的 .NET 应用程序中使用它（如控制台应用、桌面应用、甚至其他非 ASP.NET] Core 的 Web 应用）。

主要用途：

生成 JWT Token：可以手动创建带有自定义声明（claims）的 JWT。
解析 JWT Token：可以从 JWT 中提取声明和有效负载（payload）。
手动验证 JWT Token：需要开发者手动处理 Token 的验证逻辑，例如验证签名、过期时间、发行者、受众等。

使用场景：

当你不想使用 ASP.NET Core 的内置身份验证中间件，想要完全控制 JWT 生成、解析和验证的过程时。
适合非 ASP.NET Core 项目，或复杂业务场景下需要自定义 Token 验证的场合。

优缺点：

优点：灵活，适用于各种场景，不局限于 Web 应用。
缺点：需要手动处理 Token 验证、解析等工作，增加开发复杂度。

2. Microsoft.AspNetCore.Authentication.JwtBearer

功能：

Microsoft.AspNetCore.Authentication.JwtBearer 是 ASP.NET Core 的身份验证中间件，专门用于处理基于 JWT 的身份验证。它依赖于 System.IdentityModel.Tokens.Jwt 来处理底层的 Token 解析和验证，但它集成了 ASP.NET Core 的身份验证和授权机制。

主要用途：

自动处理 JWT 鉴权：可以将 JWT Bearer Token 验证集成到 ASP.NET Core 的身份验证管道中。
简化验证流程：自动从 HTTP 请求的 Authorization 头中获取 Token，验证其有效性（包括签名、过期时间、发行者等）。
基于 [Authorize] 的授权：可以轻松通过 [Authorize] 特性保护控制器或 API，并基于 Token 中的声明（如角色）进行授权。

使用场景：

当你开发 ASP.NET Core Web API 或 Web 应用，并希望集成 JWT 进行身份验证时。
使用 ASP.NET Core 中的内置身份验证和授权机制，以简化开发流程。
需要与 ASP.NET Core 的其他身份验证方式（如 Cookie 或 OAuth）无缝集成时。

优缺点：

优点：简单，自动处理 JWT 验证和授权，减少手动编写验证逻辑的工作。
缺点：只能用于 ASP.NET Core 项目，灵活性相对较低，不适合需要手动控制 Token 验证的场景。

对比

特点	System.IdentityModel.Tokens.Jwt	Microsoft.AspNetCore.Authentication.JwtBearer
适用场景	适用于任何 .NET 项目，支持自定义 Token 操作	主要用于 ASP.NET Core Web 应用
功能	提供手动生成、解析、验证 JWT 的功能	自动处理 JWT 鉴权，集成到 ASP.NET Core 身份验证管道
集成	无框架依赖，手动处理 JWT 的创建和验证	集成 ASP.NET Core 身份验证和授权，自动验证 JWT
控制灵活性	完全控制 Token 验证、解析、生成逻辑	简化开发流程，但灵活性较低，依赖框架自动处理
是否自动处理请求中的 Token	需要手动获取和验证 HTTP 请求中的 Token	自动处理 HTTP 请求的 `Authorization` 头中的 Token
角色和声明的使用	需要手动提取 Token 中的声明，并手动实现授权	使用 `[Authorize]` 特性进行声明或角色的授权验证
开发复杂度	较高，需要手动处理验证逻辑	较低，ASP.NET Core 框架自动处理
常用场景	控制台应用、桌面应用、非 ASP.NET Core Web 项目	ASP.NET Core Web API 或 MVC 项目

何时使用哪个库？

如果你正在开发 ASP.NET** Core Web API**，并希望使用 JWT 作为身份验证机制，推荐使用 Microsoft.AspNetCore.Authentication.JwtBearer，因为它可以简化开发过程，集成到 ASP.NET Core 框架的身份验证机制中。
如果你需要在非 Web 应用程序中使用 JWT，或者你需要手动处理 JWT 的生成、验证和解析，可以使用 System.IdentityModel.Tokens.Jwt。这个库可以为你提供更大的灵活性，适用于任何 .NET 项目类型。

组合使用

在 ASP.NET Core 中，Microsoft.AspNetCore.Authentication.JwtBearer 实际上依赖 System.IdentityModel.Tokens.Jwt 来处理底层的 JWT 解析和验证。所以在 ASP.NET Core 项目中，通常会看到两个库一起使用，JwtBearer 中间件通过 System.IdentityModel.Tokens.Jwt 来处理 Token 的生成和验证工作。

1. System.IdentityModel.Tokens.Jwt

2. Microsoft.AspNetCore.Authentication.JwtBearer

对比

何时使用哪个库？

组合使用

相关文章：