在现代Web应用开发中，前后端分离架构已成为主流，传统的Session认证方式在跨域、无状态服务场景下逐渐暴露出局限性。为此，基于Token的身份认证机制应运而生，其中JWT（JSON Web Token）因其轻量、自包含和可扩展的特性，成为许多开发者首选的安全方案。在.NET生态系统中，尤其是ASP.NET Core Web API项目中，集成JWT认证已经成为构建安全API服务的标准实践之一。

JWT本质上是一个经过加密签名的JSON字符串，由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。它可以在客户端与服务器之间安全地传输用户身份信息，且无需在服务端存储会话状态，真正实现了无状态认证。当用户成功登录后，服务器生成一个JWT并返回给客户端；之后每次请求，客户端都将该Token放在HTTP请求头的Authorization字段中，格式为Bearer <token>，服务器则通过验证Token的有效性来判断用户身份。

在.NET中实现JWT认证，首先需要引入必要的NuGet包。最常用的是Microsoft.AspNetCore.Authentication.JwtBearer，它提供了对JWT Bearer认证方案的支持。安装完成后，需在Program.cs（或Startup.cs，取决于项目版本）中进行服务注册和中间件配置。

首先，在AddAuthentication方法中指定使用JWT Bearer方案，并配置相关的验证参数：

csharp builder.Services.AddAuthentication(options => { options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; }) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = builder.Configuration["Jwt:Issuer"], ValidAudience = builder.Configuration["Jwt:Audience"], IssuerSigningKey = new SymmetricSecurityKey( Encoding.UTF8.GetBytes(builder.Configuration["Jwt:Key"])) }; });

上述代码中，TokenValidationParameters是核心配置项，用于定义Token的校验规则。其中IssuerSigningKey是用于签名的密钥，必须足够复杂以保证安全性；ValidateLifetime确保Token未过期；ValidIssuer和ValidAudience用于限制签发者和接收方，防止Token被滥用。

接下来，在Program.cs中启用认证和授权中间件：

csharp app.UseAuthentication(); app.UseAuthorization();

这两行代码必须放在app.MapControllers()之前，以确保每个请求都能经过认证管道处理。

有了认证配置后，就需要在登录接口中生成JWT。通常在用户的登录Controller中，验证用户名密码后，使用JwtSecurityTokenHandler创建Token：

csharp var tokenHandler = new JwtSecurityTokenHandler(); var key = Encoding.UTF8.GetBytes(configuration["Jwt:Key"]); var tokenDescriptor = new SecurityTokenDescriptor { Subject = new ClaimsIdentity(new[] { new Claim(ClaimTypes.Name, user.Username), new Claim(ClaimTypes.Role, user.Role) }), Expires = DateTime.UtcNow.AddHours(2), Issuer = configuration["Jwt:Issuer"], Audience = configuration["Jwt:Audience"], SigningCredentials = new SigningCredentials( new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature) }; var token = tokenHandler.CreateToken(tokenDescriptor); var tokenString = tokenHandler.WriteToken(token);

生成的tokenString即可返回给前端，后续所有受保护的API接口只需添加[Authorize]特性即可自动触发Token验证。

例如：

csharp [Authorize] [HttpGet("profile")] public IActionResult GetProfile() { var username = User.Identity.Name; return Ok(new { Username = username }); }

此时，若请求未携带有效Token，系统将自动返回401 Unauthorized状态码。

值得注意的是，JWT一旦签发，在有效期内无法主动失效，因此适用于短期Token或配合刷新Token机制使用。此外，敏感信息不应放入Payload中，尽管Token被签名保护，但其内容是Base64编码可解码的。

通过以上步骤，我们就在.NET Web API中完整实现了JWT认证流程：从配置认证方案、生成Token到自动验证请求。这一机制不仅提升了系统的可扩展性和安全性，也更好地适应了分布式和微服务架构的需求。