在数据泄露频发的时代，API 安全不再是可选项，而是关键任务。ASP.NET Core 10 以对现代化防御手段的一流支持进入竞技场：自动化 PKCE、细粒度策略授权与内置速率限制无缝结合、无停机证书轮换、FIDO2 无密码流程，以及零信任（Zero-Trust）架构的基础。无论您是在构建面向公众的 API 还是内部微服务，这些特性都能帮助您从被动修补转向主动加固。

本文带您逐一剖析 ASP.NET Core 10 安全栈的每个支柱。您将看到如何通过最少的代码改动为 SPA 和移动应用解锁受 PKCE 保护的 OAuth2/OIDC 流程；如何声明每个端点的访问配额并配合基于角色的策略；如何自动化 TLS 证书续订而无需停机；如何接入 FIDO2 实现防钓鱼登录；最后，如何将这一切编织成零信任架构。

1. OAuth2 vs. OpenID Connect vs. PKCE

1.1. 什么是 OAuth2？ OAuth2 是一个用于委托授权的行业标准协议。应用程序无需共享密码，而是获取“访问令牌”（access tokens），该令牌授予有限权限——例如读取用户资料、代表用户写入数据等。

1.2. 什么是 OpenID Connect (OIDC)? OIDC 在 OAuth2 的基础上增加了身份认证（authentication）。它颁发一个 ID 令牌（JWT 格式）来证明用户身份，同时颁发访问令牌来证明用户能做什么。

1.3. 公共客户端（Public-Client）问题 基于浏览器的 SPA 和移动应用无法保守秘密——它们是“公共客户端”。如果使用标准的授权码流程（authorization code flow），攻击者可能会拦截授权码并使用它。

1.4. PKCE (Proof Key for Code Exchange) 登场 PKCE 在流程中增加了两个步骤：

1. 代码验证器 (Code Verifier)：由客户端生成的一个随机字符串。
2. 代码挑战 (Code Challenge)：在初始请求中发送的验证器的哈希版本。

当客户端用授权码交换令牌时，它需要证明拥有原始的验证器。这样，即使有人在传输过程中嗅探到授权码，没有验证器也无法兑换它。

.NET 10 配置示例

builder.Services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
    .AddOpenIdConnect(options =>
    {
        options.Authority    = "https://login.yourdomain.com/"; // 授权服务器地址
        options.ClientId     = "spa-client-id";                // 客户端ID
        options.ResponseType = OpenIdConnectResponseType.Code; // 响应类型为 code
        options.UsePkce      = true;                          // PKCE 在 .NET 10 中默认启用
        options.Scope.Add("openid");                           // OIDC 范围
        options.Scope.Add("profile");                          // 基本用户信息范围
    });

无需编写自己的 PKCE 逻辑——.NET 在后台自动生成和验证挑战。

2. 身份认证 vs. 授权 & 速率限制

2.1. 身份认证 vs. 授权

• 身份认证 (Authentication) 回答“你是谁？”（例如，使用 Google 登录）。
• 授权 (Authorization) 回答“你被允许做什么？”（例如，只有管理员才能删除用户）。

2.2. 基于策略的授权 (Policy-Based Authorization) 与其在每个端点使用 [Authorize(Roles="Admin")] 装饰，不如集中定义策略：

builder.Services.AddAuthorization(opts =>
    opts.AddPolicy("RequireAdmin", policy =>
        policy.RequireRole("Admin")              // 要求 Admin 角色
              .RequireClaim("department", "IT"))); // 要求 department 声明值为 IT

然后以声明式方式应用：

app.MapDelete("/users/{id}",
    [Authorize(Policy = "RequireAdmin")] // 应用策略
    (int id) => { /* 删除逻辑 */ });

如果业务规则变更——例如需要 "manager" 声明——您只需更新一个策略，而不是每个控制器。

2.3. 速率限制为何重要 API 可能被洪水般的请求攻击，或被失控的客户端意外压垮。速率限制可对调用者进行节流：

builder.Services.AddRateLimiter(opts =>
    opts.AddFixedWindowLimiter("UserLimiter", lim =>
    {
        lim.PermitLimit = 100;                     // 最大 100 次调用
        lim.Window      = TimeSpan.FromMinutes(1); // 时间窗口：1 分钟
    }));

app.MapGet("/reports",
    [EnableRateLimiting("UserLimiter")] // 启用速率限制器
    () => Results.Ok("报告数据"));

当客户端超出限制时，服务器返回 HTTP 429 Too Many Requests。这个简单的防护机制能防止滥用并保持服务的响应能力。

3. TLS 证书与零停机轮换

3.1. 什么是 TLS 证书？ TLS 证书用于证明服务器身份并启用加密通信 (HTTPS)。证书会过期（通常每年），必须更换。

3.2. 手动轮换的痛点 没有自动化时，运维人员需要处理续订、手动部署和偶尔的停机——这为人为错误提供了可乘之机。

3.3. 使用 Azure Key Vault 实现自动化

1. 在 Azure Key Vault 中配置证书并设置自动续订策略。
2. 配置 ASP.NET Core 的 Kestrel 服务器在运行时获取它：

builder.Configuration.AddAzureKeyVault(vaultUri, 
                                      new DefaultAzureCredential()); // 添加 Key Vault 配置源

builder.WebHost.ConfigureKestrel(opts =>
    opts.ConfigureHttpsDefaults(https =>
        https.ServerCertificateSelector = (_, _) =>
            CertificateLoader.LoadFromStoreCert(
                "ProdCert",                  // 证书名称
                StoreName.My,                 // 存储名称
                StoreLocation.CurrentUser,    // 存储位置
                throwIfNotFound: true)));     // 找不到时抛出异常

当证书接近到期时，Key Vault 会发布新版本；Kestrel 能实时获取它，无需重启应用。

3.4. DIY 文件监视器方法 (DIY File-Watcher Approach) 在 DIY 文件监视器方法中，您的 ASP.NET Core 应用首先将 PFX 证书加载到一个 current 变量中，并将 Kestrel 的 ServerCertificateSelector 设置为每次 HTTPS 握手时返回它；同时，一个 FileSystemWatcher 监视证书文件夹的 .pfx 文件变化；每当文件更新时，监视器会释放旧的 X509Certificate2，将新的 PFX 重新加载到 current 中，Kestrel 立即开始提供更新后的证书——从而实现无需重启应用的无缝、零停机 SSL 更新。

如果您在本地托管，只需将新的 PFX 文件放入文件夹，并让 ASP.NET Core 重新加载它们：

var certPath = "certs/site.pfx"; // 证书路径
var certPwd  = "password";      // 证书密码
var current = Load(certPath, certPwd); // 初始加载证书

// 创建文件系统监视器，监视证书目录的 .pfx 文件
new FileSystemWatcher(Path.GetDirectoryName(certPath), "*.pfx")
{
    NotifyFilter = NotifyFilters.LastWrite // 监视最后写入时间变化
}.Changed += (_,__) =>
{
    current = Load(certPath, certPwd);  // 文件更新时重新加载
};

// 配置 Kestrel 使用 HTTPS，并设置证书选择器
builder.WebHost.ConfigureKestrel(opts =>
    opts.ConfigureHttpsDefaults(https =>
        https.ServerCertificateSelector = (_,_) => current)); // 始终返回 current 变量中的证书

无论您托管在何处，都能实现无缝、零停机的证书更新。

4. FIDO2 & WebAuthn：无密码身份认证

4.1. 密码问题 密码会被盗取、重复使用和钓鱼攻击。它们的管理也很繁琐——重置流程、复杂性规则、用户挫败感。

4.2. FIDO2 & WebAuthn 来救援 FIDO2 是一个基于公钥的身份认证标准。您的设备（或像 YubiKey 这样的硬件密钥）持有私钥；服务器存储其公钥。在登录过程中，设备证明拥有私钥——无需密码。

.NET 10 中的服务器配置

builder.Services.AddFido2(opts =>
{
    opts.ServerDomain     = "api.yourdomain.com"; // FIDO2 服务器域名
    opts.ServerName       = "MyApp API";          // 服务器名称
    opts.Origins          = new[] { "https://app.yourdomain.com" }; // 允许的来源
})
.AddMemoryStore(); // 生产环境替换为您的数据库存储

客户端工作流 (浏览器)

1. 使用 navigator.credentials.create() 注册新的认证器。
2. 使用 navigator.credentials.get() 进行认证——浏览器会提示进行 Face ID、PIN 或触摸验证。

用户只需轻触密钥或使用生物识别技术——无需记忆或担心被钓鱼获取密码。

5. 拥抱零信任 (Zero-Trust)

5.1. 什么是零信任？ 零信任颠覆了“信任但要验证”的模型：永不信任，始终验证。每个请求——即使来自您的网络内部——都必须进行身份认证、授权和监控。

5.2. ASP.NET Core 10 中的构建块

• 全局身份认证 (Global Authentication)

  builder.Services.AddAuthorization(opts => opts.FallbackPolicy 
         = new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build());
  

  默认情况下没有匿名端点。
• 微策略 (Micro-Policies) 用所需的最小权限集锁定每个处理程序或服务。
• 持续可观测性 (Continuous Observability) 集成 OpenTelemetry、Application Insights 或您的 SIEM 系统，为每次调用收集跟踪、指标和日志。

零信任不是一次开启的功能——它是一种融入每一层身份认证、授权和监控的文化。

后续步骤 ASP.NET Core 10 将 API 安全从零散修补转变为整体框架。您已了解：

1. 使用 PKCE 实现安全的公共客户端 OAuth2/OIDC。
2. 使用基于策略的授权和速率限制来声明和执行谁能在何时、以何种频率做什么。
3. 自动化证书轮换实现零停机 HTTPS。
4. 使用 FIDO2/WebAuthn 实现防钓鱼、无密码登录。
5. 零信任原则构建纵深防御架构。

准备好应用这些了吗？

1. 创建一个新的 ASP.NET Core 10 Minimal API 项目脚手架。
2. 启用 PKCE 并定义您的第一个策略。
3. 连接 Azure Key Vault 或文件监视器来管理证书。
4. 添加 FIDO2 并尝试基于浏览器的 WebAuthn。
5. 融入可观测性——当您进行故障排除时，未来的您会感谢现在的您。

结论 ASP.NET Core 10 将 API 安全从手动修补转变为编码化的最佳实践。借助自动化 PKCE、策略驱动的授权、速率限制、证书轮换、FIDO2 无密码登录以及零信任基础，您可以自信地抵御现代威胁。

从一个 Minimal API 项目脚手架开始，逐一启用这些功能，并衡量它们对开发体验和安全态势的影响。您的下一个项目不仅将更快交付——更能经得起对手的考验。准备好锁定您的 API 了吗？工具包就在 .NET 10 中；选择权在您手中。

您的 API 将变得安全、弹性十足，而您的读者也将被这份清晰、全面的指南所吸引。告诉我您会先尝试哪个功能吧！