Tag: JWT
All the articles with the tag "JWT".
-
ASP.NET Core JWT 认证:从登录到角色授权
Published: at 12:07 AMJWT 认证适合 SPA、移动端和服务间 API,但它不是只加一个 Bearer 包那么简单。这篇基于 .NET 10 Minimal API,梳理登录签发、JwtBearer 验证、受保护路由、角色授权、测试步骤和生产环境安全边界。
-
ASP.NET Core Web API 认证与授权:JWT 和策略怎么配
Published: at 11:57 PM这篇文章用 ASP.NET Core Web API 的真实配置串起认证与授权:JWT Bearer 如何验证请求、Token 怎么签发、Authorize 和策略怎样保护端点,以及资源级权限该放在哪里判断。
-
在 ASP.NET Core 中为 SignalR Hub 添加 JWT 身份认证
Published: at 04:32 AMSignalR 默认允许任意客户端连接 Hub,不做身份验证。本文从后端配置、Hub 授权、服务端流式推送,到 JavaScript 和 .NET 客户端接入,完整演示如何用 JWT 保护 SignalR 连接,并整理了六条生产环境安全实践。
-
ASP.NET Core Web API 接入 Microsoft Entra ID 应该怎么做
Published: at 03:10 AM这篇关于 Microsoft Entra ID 保护 ASP.NET Core Web API 的文章,真正值得带走的不是把配置项抄一遍,而是把一条完整的身份认证链路跑通:客户端先拿到 Entra ID 签发的访问令牌,API 端再通过 Microsoft Identity Web 校验 JWT、检查 audience、issuer 和 scope,最后再用 Postman/MSAL 验证调用确实能闭环。它解决的是“API 看起来接了认证”和“API 真的接对了认证”之间的那段落差。
-
ASP.NET Core 里 Refresh Token 应该怎么设计
Published: at 02:04 PM这篇关于 ASP.NET Core Refresh Token 的教程,真正值得带走的不是再学一遍 JWT,而是如何把 access token 的短时有效、refresh token 的续期能力,以及轮换、存储、失效控制这些安全边界设计清楚。Refresh token 不是简单“让用户不用重新登录”,它本质上是在设计会话续期和凭证泄露后的损害控制。