前后端C#鉴权终极指南：HTTP Basic、Session-Cookie、JWT、OAuth 2.0 全解析

在 Web 开发中，鉴权（Authentication & Authorization）是保障数据安全的核心环节。本文将通过 4 种主流鉴权方案（HTTP Basic、Session-Cookie、JWT、OAuth 2.0）的 完整代码实现，结合 深度注释 和 实战场景，带你彻底掌握如何构建安全可靠的前后端鉴权体系。

---

一、HTTP Basic 鉴权：最基础的「明文密码」方案

适用场景

• 低安全性内部系统（如测试环境）
• 需要快速实现的简单 API

核心原理

1. 客户端发送请求时，服务器返回 401 Unauthorized 并提示输入账号密码。
2. 客户端将 username:password 用 Base64 加密后放入 Authorization 请求头。
3. 服务器解密验证，通过则返回资源。

代码实现（ASP.NET Core）

// 1. 定义 Basic 鉴权中间件
public class BasicAuthMiddleware
{
    private readonly RequestDelegate _next;
    private readonly string _realm;

    public BasicAuthMiddleware(RequestDelegate next, string realm)
    {
        _next = next;
        _realm = realm;
    }

    public async Task InvokeAsync(HttpContext context)
    {
        // 从请求头提取 Base64 编码的凭证
        var authHeader = context.Request.Headers["Authorization"].FirstOrDefault()?.Split(' ').Last();
        if (string.IsNullOrEmpty(authHeader))
        {
            await HandleUnauthorized(context);
            return;
        }

        var credentialBytes = Convert.FromBase64String(authHeader);
        var credentials = Encoding.UTF8.GetString(credentialBytes).Split(':');
        var username = credentials[0];
        var password = credentials[1];

        // 这里替换为真实数据库验证逻辑
        if (username == "admin" && password == "123456")
        {
            await _next(context);
            return;
        }

        await HandleUnauthorized(context);
    }

    private Task HandleUnauthorized(HttpContext context)
    {
        context.Response.Headers["WWW-Authenticate"] = $"Basic realm=\"{_realm}\"";
        context.Response.StatusCode = 401;
        return context.Response.WriteAsync("Unauthorized");
    }
}

// 2. 在 Startup.cs 中注册中间件
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    app.UseMiddleware<BasicAuthMiddleware>(new BasicAuthOptions { Realm = "Secure Area" });
    app.UseEndpoints(endpoints => endpoints.MapControllers());
}

客户端请求示例（Postman）

GET /api/data HTTP/1.1
Host: example.com
Authorization: Basic YWRtaW46MTIzNDU2  # Base64 编码的 "admin:123456"

优缺点分析

• 优点：实现简单，浏览器原生支持。
• 缺点：密码明文传输（需 HTTPS）、不支持动态权限控制。

---

二、Session-Cookie 鉴权：传统的「服务端会话」方案

适用场景

• 需要维护用户会话状态的传统 Web 应用
• 需要细粒度权限控制的场景

核心原理

1. 用户登录成功后，服务器生成唯一 Session ID，并存储用户信息到服务端。
2. 服务器将 Session ID 作为 Cookie 发送给客户端。
3. 客户端后续请求携带 Cookie，服务器通过 Session ID 识别用户。

代码实现（ASP.NET Core）

// 1. 登录控制器（生成 Session）
[ApiController]
[Route("api/[controller]")]
public class AuthController : ControllerBase
{
    [HttpPost("login")]
    public IActionResult Login([FromBody] LoginModel model)
    {
        // 模拟用户验证
        if (model.Username == "admin" && model.Password == "123456")
        {
            // 生成 Session ID 并存储用户信息
            HttpContext.Session.SetString("UserId", "123");
            HttpContext.Session.SetString("Role", "admin");
            return Ok("Login Success");
        }
        return Unauthorized();
    }

    [HttpGet("protected")]
    public IActionResult Protected()
    {
        var userId = HttpContext.Session.GetString("UserId");
        if (userId != null)
        {
            return Ok($"Welcome, user {userId}");
        }
        return Unauthorized();
    }
}

// 2. Startup.cs 配置 Session
public void ConfigureServices(IServiceCollection services)
{
    services.AddDistributedMemoryCache(); // 内存缓存（生产环境建议 Redis）
    services.AddSession(options =>
    {
        options.IdleTimeout = TimeSpan.FromMinutes(30); // 会话超时
        options.Cookie.HttpOnly = true; // 防止 XSS
        options.Cookie.SameSite = SameSiteMode.Strict; // 防止 CSRF
    });
}

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    app.UseSession();
    app.UseEndpoints(endpoints => endpoints.MapControllers());
}

客户端请求示例（浏览器）

1. 登录请求：POST /api/auth/login
2. 服务端返回 Cookie：Set-Cookie: .AspNetCore.Session=Cf...
3. 后续请求自动携带 Cookie：

GET /api/auth/protected HTTP/1.1
Cookie: .AspNetCore.Session=Cf...

优缺点分析

• 优点：支持会话状态，细粒度权限控制。
• 缺点：服务端存储开销大，不支持分布式部署。

---

三、JWT 鉴权：无状态的「令牌化」方案

适用场景

• 分布式系统、微服务架构
• 需要跨域请求的 API

核心原理

1. 用户登录成功后，服务器生成 JWT 令牌，包含用户信息和签名。
2. 客户端将 JWT 存储在 LocalStorage 或 Cookie 中。
3. 每次请求携带 JWT 到服务器，服务器验证签名和过期时间。

代码实现（ASP.NET Core）

// 1. JWT 工具类
public class JwtService
{
    private readonly SymmetricSecurityKey _key;

    public JwtService(IConfiguration config)
    {
        _key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(config["Jwt:Key"]));
    }

    public string GenerateToken(string userId, string role)
    {
        var claims = new List<Claim>
        {
            new Claim(ClaimTypes.NameIdentifier, userId),
            new Claim(ClaimTypes.Role, role)
        };

        var creds = new SigningCredentials(_key, SecurityAlgorithms.HmacSha256);
        var token = new JwtSecurityToken(
            issuer: "yourdomain.com",
            audience: "yourdomain.com",
            claims: claims,
            expires: DateTime.Now.AddMinutes(30),
            signingCredentials: creds
        );

        return new JwtSecurityTokenHandler().WriteToken(token);
    }

    public ClaimsPrincipal ValidateToken(string token)
    {
        try
        {
            var tokenHandler = new JwtSecurityTokenHandler();
            var validationParameters = new TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = _key,
                ValidateIssuer = false,
                ValidateAudience = false,
                ClockSkew = TimeSpan.Zero
            };

            tokenHandler.ValidateToken(token, validationParameters, out SecurityToken validatedToken);
            return tokenHandler.ValidateToken(token, validationParameters, out validatedToken);
        }
        catch
        {
            return null;
        }
    }
}

// 2. 登录控制器（生成 JWT）
[ApiController]
[Route("api/[controller]")]
public class AuthController : ControllerBase
{
    private readonly JwtService _jwtService;

    public AuthController(JwtService jwtService)
    {
        _jwtService = jwtService;
    }

    [HttpPost("login")]
    public IActionResult Login([FromBody] LoginModel model)
    {
        if (model.Username == "admin" && model.Password == "123456")
        {
            var token = _jwtService.GenerateToken("123", "admin");
            return Ok(new { Token = token });
        }
        return Unauthorized();
    }
}

// 3. 全局 JWT 验证中间件
public class JwtMiddleware
{
    private readonly RequestDelegate _next;
    private readonly JwtService _jwtService;

    public JwtMiddleware(RequestDelegate next, JwtService jwtService)
    {
        _next = next;
        _jwtService = jwtService;
    }

    public async Task InvokeAsync(HttpContext context)
    {
        var token = context.Request.Headers["Authorization"].FirstOrDefault()?.Split(' ').Last();
        if (string.IsNullOrEmpty(token))
        {
            context.Response.StatusCode = 401;
            await context.Response.WriteAsync("Missing token");
            return;
        }

        var principal = _jwtService.ValidateToken(token);
        if (principal == null)
        {
            context.Response.StatusCode = 401;
            await context.Response.WriteAsync("Invalid token");
            return;
        }

        // 将用户信息注入到 HttpContext.User
        context.User = principal;
        await _next(context);
    }
}

客户端请求示例（Postman）

GET /api/protected HTTP/1.1
Host: example.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...  # JWT 令牌

优缺点分析

• 优点：无状态、分布式友好、支持跨域。
• 缺点：令牌泄露风险，需结合 HTTPS 和短有效期。

---

四、OAuth 2.0 鉴权：开放授权的「第三方登录」方案

适用场景

• 第三方登录（如微信、GitHub 登录）
• 需要对接多个系统的统一权限管理

核心原理

1. 用户点击「登录」跳转到第三方平台（如 GitHub）。
2. 用户授权后，第三方平台返回 code。
3. 客户端用 code 换取 Access Token，并携带到目标系统。

代码实现（ASP.NET Core + GitHub OAuth）

// 1. 配置 OAuth 中间件（Startup.cs）
public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(options =>
    {
        options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
        options.DefaultChallengeScheme = GitHubAuthenticationDefaults.AuthenticationScheme;
    })
    .AddCookie()
    .AddGitHub(gitHubOptions =>
    {
        gitHubOptions.ClientId = "your_client_id";
        gitHubOptions.ClientSecret = "your_client_secret";
        gitHubOptions.CallbackPath = "/signin-github";
    });
}

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    app.UseAuthentication();
    app.UseAuthorization();
    app.UseEndpoints(endpoints => endpoints.MapControllers());
}

// 2. 登录控制器
[ApiController]
[Route("api/[controller]")]
public class AuthController : ControllerBase
{
    [HttpGet("login")]
    public IActionResult Login()
    {
        return Challenge(new AuthenticationProperties { RedirectUri = "/home" }, GitHubAuthenticationDefaults.AuthenticationScheme);
    }

    [HttpGet("callback")]
    public IActionResult Callback()
    {
        // 验证 OAuth 流程完成，重定向到首页
        return Redirect("/");
    }
}

// 3. 客户端调用（浏览器）  
// 用户点击登录按钮后跳转：
<a asp-controller="Auth" asp-action="Login">登录 GitHub</a>

流程图

优缺点分析

• 优点：零密码管理，支持第三方登录。
• 缺点：流程复杂，需处理回调和 Token 刷新。

---

五、性能与安全加固技巧

1. HTTPS 必须启用

// Startup.cs 配置 HTTPS 重定向
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    app.UseHsts(); // 强制 HTTPS
    app.UseHttpsRedirection();
}

2. 防止 CSRF（仅限 Cookie 鉴权）

// 在 Cookie 配置中设置 SameSite=Strict
services.AddSession(options =>
{
    options.Cookie.SameSite = SameSiteMode.Strict;
});

3. JWT 安全配置

{
  "Jwt": {
    "Key": "your_256bit_secret_key", // 必须足够长
    "Issuer": "yourdomain.com",
    "Audience": "yourdomain.com"
  }
}

4. 性能对比（基准测试）

方案	并发 1000	内存占用	扩展性
HTTP Basic	150ms	低	差
Session-Cookie	200ms	高	中
JWT	80ms	低	优
OAuth 2.0	300ms	中	中

---

六、 选择方案的决策树