asp.net core中JwtBearerEvents中几个事件的生命周期

在 ASP.NET Core 的 JWT Bearer 认证中，JwtBearerEvents 提供了一系列事件钩子，允许你在认证流程的不同阶段插入自定义逻辑。以下是主要事件的生命周期顺序及其作用：

一、事件触发顺序（生命周期）

1. OnMessageReceived - 最先触发

// 在收到请求时触发，用于自定义令牌提取逻辑
OnMessageReceived = context =>
{
// 1. 可以从查询字符串、Cookie等非标准位置提取令牌
var token = context.Request.Query["access_token"];
if (!string.IsNullOrEmpty(token))
context.Token = token;

return Task.CompletedTask;
}

触发时机 ：收到请求后，验证令牌之前
用途：自定义令牌的获取方式（默认从 Authorization Header 获取）

2. OnTokenValidated - 令牌验证成功后

// 令牌验证通过后触发，可以添加额外的验证逻辑
OnTokenValidated = context =>
{
// 2. 验证通过，可以：
// - 添加自定义声明
// - 检查用户状态（如是否被禁用）
// - 记录日志
var userId = context.Principal.FindFirstValue(ClaimTypes.NameIdentifier);
// 执行额外的业务验证...

return Task.CompletedTask;
}

触发时机 ：JWT 签名、有效期等基本验证通过后
用途：添加业务层面的验证逻辑

3. OnAuthenticationFailed - 认证失败时

// 认证失败时触发（如令牌过期、签名无效）
OnAuthenticationFailed = context =>
{
// 3. 处理认证失败
if (context.Exception is SecurityTokenExpiredException)
{
context.Response.Headers.Add("Token-Expired", "true");
}
return Task.CompletedTask;
}

触发时机 ：令牌验证失败时（过期、无效签名等）
用途：处理认证失败，自定义错误响应

4. OnChallenge - 质询时触发（返回401）

// 当需要质询客户端（返回401）时触发
OnChallenge = context =>
{
// 4. 自定义质询响应
context.Response.StatusCode = 401;
context.Response.ContentType = "application/json";
return context.Response.WriteAsync(
JsonSerializer.Serialize(new { error = "需要认证" }));
}

触发时机 ：需要质询客户端提供凭证时（通常在 [Authorize] 属性触发）
用途：自定义401响应的格式

5. OnForbidden - 禁止访问时（返回403）

// 认证成功但授权失败时触发
OnForbidden = context =>
{
// 5. 自定义403响应
context.Response.StatusCode = 403;
return context.Response.WriteAsync("权限不足");
}

触发时机 ：认证成功但授权失败（如角色/策略不匹配）
用途：自定义403响应

二、完整生命周期流程图

请求到达
↓
[OnMessageReceived] ← 提取令牌
↓
JWT验证（签名、有效期等）
├── 成功 → [OnTokenValidated] → 认证成功
└── 失败 → [OnAuthenticationFailed] → 认证失败
↓
授权检查
├── 需要认证但未提供 → [OnChallenge]（返回401）
├── 认证成功但权限不足 → [OnForbidden]（返回403）
└── 认证授权都成功 → 继续管道

三、实际使用示例

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
// 标准验证参数...
};

options.Events = new JwtBearerEvents
{
OnMessageReceived = async context => { /* 1 */ },
OnTokenValidated = async context => { /* 2 */ },
OnAuthenticationFailed = async context => { /* 3 */ },
OnChallenge = async context => { /* 4 */ },
OnForbidden = async context => { /* 5 */ }
};
});

四、重要注意事项

1. 异步处理 ：所有事件都是异步的，需要返回 Task
2. 短路请求 ：在事件中可以通过 context.Fail() 或直接设置响应来终止请求
3. 性能考虑 ：在 OnTokenValidated 中避免耗时的数据库查询
4. 错误处理 ：在 OnAuthenticationFailed 中不要泄露敏感信息
5. 事件顺序：理解事件顺序有助于正确放置业务逻辑

这些事件提供了灵活的扩展点，可以让你在不修改核心认证逻辑的情况下，实现各种定制需求。