如何使用ASP.NET Core2结合JWT在服务端实现客户端身份认证的复杂流程？

背景 在微服务架构下，一般都会按不同的业务或功能将整个系统切分成不同的独立子系统，再通过REST API或RPC进行通讯并相互调用，形成各个子系统之间的串联结构。在这里，我们将采用REST API的通讯方式。 比如： 1、有一个“用户中心”独立子系统名为“Lezhima.UserHub”，是一个基于ASP.NET Core mvc 2.0的项目。 2、有一个处理用户订单的独立子系统名为“Lezhima.UserOrder”，是一个基于ASP.NET Core webp api 2.0的项目。 3、同时还有一个处理用户文件上传的独立子系统名为“Lezhima.UserUpload”，是一个基于ASP.NET Core webp api 2.0的项目。 业务关系如下： 用户成功登录后进入“Lezhima.UserHub”，在用户查看订单时通过前端Ajax调用“Lezhima.UserOrder”的web api接口，在用户上传图片是通过前端Ajax调用“Lezhima.UserUpload”的web api接口。 至此，我们了解了上面的业务关系后，心里一定产生出如下两个问题： 1、如何保障“Lezhima.UserOrder”与“Lezhima.UserUpload”两个独立系统内的web api接口安全，因为它们已经被暴露在了前端。 2、如何在“Lezhima.UserHub”站颁发Token。 那么，带着问题我们下面就结合ASP.NET Core 自带的Jwt技术来讨论具体的实现（也许聪明的你有更好的解决方法，请一定告知我，谢谢）。 Jwt 全名为：JSON Web Token，是一个很成熟的技术，园子里也有很多这方面的知识，我这里就不再重述了。 实现原理 “Lezhima.UserHub”站因为已经做了登录验证，我们暂且认为它是可信的，所以在前端Ajax请求“Lezhima.UserOrder”站的web api接口时先到自已后端去生成一个Token，并随之同本次跨站请求一块携带至“Lezhima.UserOrder”站，“Lezhima.UserOrder”站验证请求头中的Token是否合法，如合法则继续路由到具体方法中，否则结束请求。“Lezhima.UserUpload”站原理与“Lezhima.UserOrder”相同。