FastEndpoints 5.22版本增强JWT非对称加密支持

在FastEndpoints 5.22.0.18-beta版本中，JWT非对称加密功能得到了显著增强。这个更新特别针对使用PEM格式密钥的开发场景，提供了更灵活的密钥处理方式。

背景与改进

在之前的版本中，FastEndpoints仅支持RSA格式的PKCS1公钥（以"-----BEGIN RSA PUBLIC KEY-----"开头）。这给使用PKCS8格式公钥（以"-----BEGIN PUBLIC KEY-----"开头）的开发团队带来了不便。

新版本通过引入KeyIsPemEncoded配置选项，解决了这一限制。现在开发者可以直接使用标准的PEM格式密钥，无需预先转换为PKCS1格式。

新功能详解

认证配置

在服务配置中，现在可以这样设置JWT Bearer认证：

builder.Services.AddAuthenticationJwtBearer(
    s =>
    {
        s.SigningKey = "公钥PEM数据";
        s.SigningStyle = TokenSigningStyle.Asymmetric;
        s.KeyIsPemEncoded = true;
    });

令牌创建

生成JWT令牌时也有了相应改进：

var token = JwtBearer.CreateToken(
    o =>
    {
        o.SigningKey = "私钥PEM数据";
        o.SigningStyle = TokenSigningStyle.Asymmetric;
        o.KeyIsPemEncoded = true;
        o.AsymmetricKeyAlgorithm = SecurityAlgorithms.Sha256;
        o.ExpireAt = DateTime.UtcNow.AddDays(1);
        o.User.Permissions.Add("Some_Permission");
        o.User.Roles.Add("Admin");
        o.User.Claims.Add(("UserId", "001"));
    });

技术实现原理

新版本在底层使用了.NET的RSA.Create()方法和ImportFromPem()方法，这使得它能够直接处理PEM格式的密钥。这种实现方式：

1. 保持了与标准加密库的兼容性
2. 简化了密钥管理流程
3. 支持更广泛的密钥格式

最佳实践建议

1. 对于新项目，建议直接使用PEM格式密钥
2. 现有项目可以平滑迁移，无需修改现有密钥
3. 在密钥管理上，可以考虑使用密钥管理系统或HSM来增强安全性

总结

FastEndpoints 5.22版本对JWT非对称加密支持的增强，体现了框架对开发者实际需求的响应能力。这一改进不仅解决了特定格式密钥的兼容性问题，还为开发者提供了更符合现代加密实践的API设计。对于需要实现安全认证的.NET应用来说，这无疑是一个值得关注的更新。