ASP.NET Core 中实现基于数据库的JWT Claims验证机制

在ASP.NET Core的身份认证与授权体系中，JWT(JSON Web Token)是一种常用的无状态认证方案。默认情况下，系统会直接从JWT令牌中解析用户的Claims(声明)信息来进行权限验证。然而在某些业务场景下，开发者可能需要从数据库动态获取最新的用户Claims，而不是完全依赖JWT令牌中的固定信息。

为什么需要从数据库获取Claims

JWT令牌一旦签发，其中包含的Claims信息就是固定的，直到令牌过期。这带来了几个潜在问题：

1. 实时性不足：如果管理员在令牌有效期内修改了用户权限，新权限无法立即生效
2. 令牌膨胀：如果包含过多Claims信息，会导致令牌体积过大
3. 安全性考虑：某些敏感权限可能不适合长期存储在客户端

实现方案

ASP.NET Core提供了灵活的扩展点来实现从数据库获取Claims的机制。核心思路是使用JWT Bearer认证中间件的OnTokenValidated事件。

配置JWT Bearer认证

首先在Startup.cs或Program.cs中配置JWT认证：

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(options =>
    {
        options.TokenValidationParameters = new TokenValidationParameters
        {
            // 配置标准的令牌验证参数
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidateLifetime = true,
            ValidateIssuerSigningKey = true,
            // ...其他配置
        };

        options.Events = new JwtBearerEvents
        {
            OnTokenValidated = async context =>
            {
                // 在这里添加从数据库获取Claims的逻辑
                var dbContext = context.HttpContext.RequestServices
                    .GetRequiredService<ApplicationDbContext>();
                
                var userId = context.Principal.FindFirstValue(ClaimTypes.NameIdentifier);
                var user = await dbContext.Users.FindAsync(userId);

                // 从数据库获取用户Claims
                var claims = await GetUserClaimsFromDatabase(userId);
                
                // 将Claims添加到当前Principal
                var identity = context.Principal.Identity as ClaimsIdentity;
                identity.AddClaims(claims);
            }
        };
    });

数据库Claims获取实现

实现从数据库获取Claims的示例方法：

private async Task<List<Claim>> GetUserClaimsFromDatabase(string userId)
{
    using var scope = _serviceProvider.CreateScope();
    var dbContext = scope.ServiceProvider.GetRequiredService<ApplicationDbContext>();
    
    // 查询用户角色
    var roles = await dbContext.UserRoles
        .Where(ur => ur.UserId == userId)
        .Select(ur => ur.Role.Name)
        .ToListAsync();

    // 查询用户权限
    var permissions = await dbContext.UserPermissions
        .Where(up => up.UserId == userId)
        .Select(up => up.Permission.Name)
        .ToListAsync();

    var claims = new List<Claim>();
    
    // 添加角色Claims
    foreach (var role in roles)
    {
        claims.Add(new Claim(ClaimTypes.Role, role));
    }
    
    // 添加自定义权限Claims
    foreach (var permission in permissions)
    {
        claims.Add(new Claim("permission", permission));
    }

    return claims;
}

授权策略配置

获取到数据库Claims后，可以像往常一样配置授权策略：

services.AddAuthorization(options =>
{
    options.AddPolicy("SuperAdmin", policy => 
        policy.RequireRole("SuperAdmin")
              .RequireClaim("permission", "full_access"));
});

然后在控制器或Action上使用：

[Authorize(Policy = "SuperAdmin")]
public class AdminController : Controller
{
    // 控制器方法
}

性能考虑

由于每次请求都需要查询数据库获取Claims，可能会对性能产生影响。可以考虑以下优化策略：

1. 实现Claims缓存机制，设置合理的过期时间
2. 只查询必要的Claims信息
3. 对高频访问的接口进行特殊处理

总结

通过扩展ASP.NET Core的JWT Bearer认证管道，我们可以实现从数据库动态获取用户Claims的机制。这种方案既保留了JWT无状态认证的优点，又解决了权限变更实时性的问题，为复杂权限系统提供了灵活的解决方案。开发者可以根据实际业务需求，调整Claims的获取策略和缓存机制，在功能与性能之间取得平衡。