FastEndpoints中实现双认证方案(Cookie+JWT)的技术要点

在FastEndpoints框架中同时实现Cookie认证和JWT认证时，开发者需要注意一些关键的技术细节。本文将详细介绍如何正确配置这两种认证方案，避免常见的实现陷阱。

认证方案配置要点

Cookie认证配置

当需要API端点返回401状态码时，必须正确配置Cookie认证的事件处理器。以下是一个推荐配置示例：

services.AddAuthenticationCookie(validFor: TimeSpan.FromMinutes(jwtSettings!.TokenExpirationInMinutes), o =>
{
    o.Events = new CookieAuthenticationEvents
    {
        OnRedirectToLogin = ctx =>
        {
            if (ctx.Request.Path.StartsWithSegments("/api") && ctx.Response.StatusCode == 200)
                ctx.Response.StatusCode = 401;
            
            return Task.CompletedTask;
        },
        OnRedirectToAccessDenied = ctx =>
        {
            if (ctx.Request.Path.StartsWithSegments("/api") && ctx.Response.StatusCode == 200)
                ctx.Response.StatusCode = 403;
            
            return Task.CompletedTask;
        }
    };
});

这段代码确保了当API请求未经认证时，会直接返回401状态码而不是重定向到登录页面。

用户登录实现差异

对于使用Cookie认证的端点，必须使用FastEndpoints.Security提供的CookieAuth.SignInAsync方法：

await CookieAuth.SignInAsync(allPrivileges, properties: authProperties);

重要提示：不要使用Microsoft.AspNetCore.Identity中的SignInManager，虽然它能成功创建Cookie，但在验证阶段可能会失败。

对于JWT认证的端点，则应使用FastEndpoints.Security提供的JWT生成方法：

JwtBearer.CreateToken(o =>
{
    o.SigningKey = _jwt.Key!;
    // 其他JWT配置项
});

注意：避免使用System.IdentityModel.Tokens.Jwt中的JwtSecurityToken来生成令牌，以确保与FastEndpoints框架的最佳兼容性。

实现建议

1. 保持一致性：在同一个项目中混合使用不同来源的认证方法可能导致难以排查的问题，建议统一使用FastEndpoints提供的认证工具。

2. 认证方案选择：根据应用场景选择合适的认证方案：

   • 前后端不分离的传统Web应用适合使用Cookie认证
   • 移动应用或前后端分离项目更适合JWT认证

3. 错误处理：确保为两种认证方案都配置了适当的错误处理逻辑，提供一致的用户体验。

通过遵循这些实践要点，开发者可以在FastEndpoints框架中稳健地实现双认证方案，为不同类型的客户端提供灵活的认证选择。