ASP.NET Core 中间件：解析 JWT 并注入用户上下文的最佳实践

在ASP.NET Core 中，可以通过自定义中间件解析 JWT 并将用户信息提取到HttpContext 的用户上下文中（如HttpContext.User），以便在后续的处理中使用这些信息（如授权、日志记录等）。以下是实现步骤和完整示例：

1. 背景

JWT（JSON Web Token）是一种广泛使用的身份验证机制。一般情况下，JWT 会包含在 HTTP 请求的Authorization 头部中，格式如下：

Authorization: Bearer <token>

我们需要在中间件中：

从请求头中提取 JWT。
验证 JWT 的合法性（如签名、过期时间）。
将解析出的用户信息（如Claims）注入到HttpContext.User。

2. 实现步骤

步骤 1：添加依赖包

使用Microsoft.AspNetCore.Authentication.JwtBearer 处理 JWT 验证。

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer

步骤 2：配置 JWT 参数

在appsettings.json 或代码中配置 JWT 的密钥、颁发者和受众等信息。

appsettings.json 示例：

{
  "JwtSettings": {
    "Issuer": "your-issuer",
    "Audience": "your-audience",
    "SecretKey": "your-secret-key"
  }
}

步骤 3：创建 JWT 中间件

以下是一个自定义中间件的实现：

using Microsoft.AspNetCore.Http;
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;

publicclassJwtMiddleware
{
    privatereadonly RequestDelegate _next;
    privatereadonlystring _secretKey;
    privatereadonlystring _issuer;
    privatereadonlystring _audience;

    public JwtMiddleware(RequestDelegate next, IConfiguration configuration)
    {
        _next = next;
        var jwtSettings = configuration.GetSection("JwtSettings");
        _secretKey = jwtSettings["SecretKey"];
        _issuer = jwtSettings["Issuer"];
        _audience = jwtSettings["Audience"];
    }

    public async Task InvokeAsync(HttpContext context)
    {
        var token = context.Request.Headers["Authorization"].FirstOrDefault()?.Split(" ").Last();

        if (!string.IsNullOrEmpty(token))
        {
            AttachUserToContext(context, token);
        }

        // 调用下一个中间件
        await _next(context);
    }

    private void AttachUserToContext(HttpContext context, string token)
    {
        try
        {
            var tokenHandler = new JwtSecurityTokenHandler();
            var key = Encoding.UTF8.GetBytes(_secretKey);

            // 验证令牌
            var validationParameters = new TokenValidationParameters
            {
                ValidateIssuer = true,
                ValidateAudience = true,
                ValidateLifetime = true,
                ValidateIssuerSigningKey = true,
                ValidIssuer = _issuer,
                ValidAudience = _audience,
                IssuerSigningKey = new SymmetricSecurityKey(key)
            };

            var principal = tokenHandler.ValidateToken(token, validationParameters, out SecurityToken validatedToken);

            // 将用户信息注入 HttpContext.User
            context.User = principal;
        }
        catch (Exception ex)
        {
            // 如果令牌无效，忽略错误并不设置 HttpContext.User
            Console.WriteLine($"JWT validation failed: {ex.Message}");
        }
    }
}

步骤 4：注册中间件

在Startup.cs 或Program.cs 中注册自定义中间件。

public classStartup
{
    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        app.UseMiddleware<JwtMiddleware>();

        app.UseRouting();

        app.UseEndpoints(endpoints =>
        {
            endpoints.MapControllers();
        });
    }
}

3. 测试流程

请求头中带有有效的 JWT

假设 JWT 的Claims 中包含以下信息：

{
  "sub": "1234567890",
  "name": "John Doe",
  "role": "Admin"
}

通过JwtMiddleware 验证后，HttpContext.User 会包含这些 Claims，可以在控制器或其他中间件中通过以下方式访问：

[HttpGet("test")]
public IActionResult Test()
{
    var userId = User.FindFirstValue(ClaimTypes.NameIdentifier); // 1234567890
    var userName = User.Identity.Name; // John Doe
    var userRole = User.FindFirstValue(ClaimTypes.Role); // Admin

    return Ok(new { userId, userName, userRole });
}