Duende BFF安全框架3.0版本发布：全面支持Blazor和.NET 9

项目概述

Duende BFF（Backend for Frontend）安全框架是一个专为现代Web应用设计的身份验证和授权解决方案。它采用BFF架构模式，将安全逻辑集中在后端服务器处理，为前端应用提供统一的安全接入层。该框架特别适合SPA（单页应用）、移动应用以及最新发布的Blazor应用场景。

核心升级内容

1. 技术栈全面升级

本次3.0版本最重要的升级是全面支持.NET 9运行时环境，使开发者能够在最新的.NET平台上构建安全可靠的应用系统。同时框架对依赖库进行了全面更新，包括将Duende.AccessTokenManagement升级至3.2.0版本，提供了更稳定的令牌管理能力。

2. Blazor应用深度集成

针对微软Blazor框架的特殊架构，3.0版本提供了开箱即用的认证支持方案：

• 混合渲染模式支持：完美解决Blazor Server与WASM混合架构下的认证状态同步难题
• 服务端会话管理：通过BFF模式集中管理用户会话，避免客户端直接处理敏感凭证
• 自动状态同步：内置的轮询机制确保客户端与服务器端的认证状态始终保持一致

开发者现在可以通过简单的配置，为Blazor应用添加企业级的安全防护，无需担心跨渲染模式带来的认证状态不一致问题。

架构改进与优化

1. YARP代理增强

重构了与YARP（Yet Another Reverse Proxy）的集成方式：

• 移除了旧的IHttpMessageInvokerFactory接口，改用标准的IForwarderHttpClientFactory
• 简化了API端点映射逻辑，提供更灵活的管道配置方式
• 新增响应头注入等扩展点，便于实施统一的安全策略

2. 声明管理优化

• 合并了ClaimRecord和ClaimLite类型，简化声明处理逻辑
• 异步化用户声明获取接口，提升高并发场景下的性能表现
• 优化EF Core会话存储实现，避免冗余的警告日志输出

迁移指南

对于现有2.x版本用户，框架保持了高度兼容性，标准配置场景下可无缝升级。需要特别注意以下变更点：

1. 自定义HTTP处理器：应改用IForwarderHttpClientFactory接口实现
2. 代理转换逻辑：旧的IHttpTransformerFactory已被更简洁的TransformBuilderContext取代
3. 路径类型安全：LocalPath和ApiAddress现在使用PathString和Uri类型增强类型安全
4. Blazor轮询配置：拆分为针对Server和WASM的独立配置项

典型应用场景

Blazor应用集成示例

// 服务注册
services.AddBff()
    .AddBlazorClientAuthentication();

// 组件初始化
@inject BffAuthenticationStateProvider AuthProvider

<CascadingAuthenticationState>
    <Router AppAssembly="@typeof(Program).Assembly">
        <!-- 路由配置 -->
    </Router>
</CascadingAuthenticationState>

自定义API端点配置

endpoints.MapRemoteBffApiEndpoint(
    "/api/orders",
    new Uri("https://orders.service"),
    context => {
        // 自定义请求转换
        context.AddRequestHeader("X-Custom-Header", "value");
        
        // 应用默认令牌逻辑
        DefaultTransformers.DirectProxyWithAccessToken("/api/orders", context);
    })
    .RequireAccessToken(TokenType.User);

总结

Duende BFF 3.0通过深度整合Blazor框架和.NET 9，为现代Web应用提供了更完善的安全解决方案。其改进的架构设计显著降低了复杂认证场景的实现难度，使开发者能够更专注于业务逻辑开发而非安全基础设施构建。对于正在评估或已经采用BFF模式的项目，这次升级提供了更稳定、更灵活的基础平台。