如何手动验证JWT访问令牌：基于Azure AD的.NET Web API实践

项目介绍

本项目展示如何在受Microsoft身份平台保护的Web API中手动处理JWT（JSON Web Token）访问令牌。针对.NET Framework 4.5，此示例通过自定义的JWT处理流程，演示了高级安全配置，允许开发者超越默认的OWIN中间件提供的基础验证功能。具体而言，它展示了如何在不依赖于自动中间件的情况下，在一个ASP.NET Web API中手动验证JWT令牌，适用于那些需要更细粒度控制的场景，例如限制特定的应用程序ID或租户，实施自定义授权规则等。

快速启动

步骤1: 克隆或下载仓库

首先，从GitHub仓库克隆这个项目到您的本地开发环境。

git clone https://github.com/Azure-Samples/active-directory-dotnet-webapi-manual-jwt-validation.git

步骤2: 注册样本应用程序

您需要在Azure Active Directory(AAD)中注册服务应用程序（TodoListService-ManualJwt）和客户端应用程序（TodoListClient-ManualJwt）。确保更新配置文件中的ida:Tenant和ida:Audience以匹配您的应用设置。

步骤3: 运行样本

• 配置完成后，您可以分别运行客户端和服务端。
• 客户端将向Web API请求数据，而服务端则会手动验证由客户端携带的JWT访问令牌。

示例代码片段

在服务端，手动验证JWT的过程可能涉及以下核心步骤，其中关键部分是使用System.IdentityModel.Tokens.Jwt库：

using System.IdentityModel.Tokens.Jwt;

// 假设JwtToken是接收到的JWT字符串
string jwtToken = "..."; // 实际环境中应从HTTP请求头中获取

// 使用JWT处理器来验证令牌
var handler = new JwtSecurityTokenHandler();
var parameters = new TokenValidationParameters
{
    ValidateIssuer = true,
    ValidateAudience = true,
    ValidateLifetime = true,
    ValidateIssuerSigningKey = true,
    ValidIssuer = "YourExpectedIssuer",
    ValidAudience = "YourExpectedAudience",
    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("YourSecret")), // 根据实际情况配置密钥
};

try
{
    var principal = handler.ValidateToken(jwtToken, parameters, out _);
    // 权限验证通过，可以继续执行业务逻辑
}
catch (SecurityTokenValidationException stve)
{
    // 处理无效令牌的情况
}

应用案例和最佳实践

• 多租户应用：通过检查tid声明来限制仅接受来自指定租户的令牌。
• 自定义权限检查：利用JWT内的角色声明实现精确的权限管理。
• 安全最佳实践：总是验证令牌的有效期、发行者、受众，并考虑引入额外的安全层如JWT过期策略。

典型生态项目

在Azure生态中，类似此项目的方法可用于任何需要精细控制JWT验证的场景，包括但不限于微服务架构中的服务间通信、单点登录(SSO)解决方案集成以及跨域资源共享(CORS)的安全管理。结合Azure Functions、Azure API Management或其他云原生服务时，这种手动验证技术同样适用，以增强安全性并符合特定的认证需求。

---

本文档提供了一个基本框架，帮助开发者理解和实现手动JWT验证过程，尤其是对于那些希望深度定制其应用认证逻辑的场景。实际部署和应用时，务必详细阅读微软的最新指南和最佳实践，以保证应用的安全性和稳定性。