ASP.NET Core 中使用 Microsoft.AspNetCore.Authentication.OpenIdConnect 接入第三方登录需遵循 OAuth 2.0/OpenID Connect 标准,正确配置 Authority、ClientId、ResponseTypes 和 CallbackPath,注意平台差异(如 GitHub 不支持标准 Discovery)、回调地址严格匹配、WASM 的 Cookie/CORS 限制及调试时按跳转链与日志定位问题。
ASP.NET Core 中用 Microsoft.AspNetCore.Authentication.OpenIdConnect 接第三方登录
绝大多数 C# Web 应用(尤其是 ASP.NET Core)接入微信、GitHub、Google 等第三方登录,实际走的是 OAuth 2.0 或 OpenID Connect 协议,Microsoft.AspNetCore.Authentication.OpenIdConnect 是最常用且官方推荐的中间件。它不直接对接某个平台 SDK,而是通过标准协议与授权服务器交互,因此配置比“调 SDK”更可控、更易调试。
常见错误是把 OpenIdConnectOptions 的 Authority、ClientId、ClientSecret 填错,或漏设 ResponseTypes(比如该填 "code" 却写了 "code id_token" 导致微信静默失败)。
Authority必须是授权服务器的根地址(如 GitHub 是"https://github.com/login/oauth/authorize"?错 —— 实际应为"https://github.com",但 GitHub 不支持标准 OIDC Discovery,得手动配Configuration;Google 则可用"https://accounts.google.com")- 回调地址(
CallbackPath)必须和第三方平台后台登记的完全一致,包括末尾斜杠(/signin-google≠/signin-google/) - 若用
response_type=code(推荐),需确保后端有AddTokenManagement()或手动调用ExchangeCodeAsync()换取 access_token —— 很多人卡在这步,以为中间件会自动完成
用 IdentityServer4 或 Duende IdentityServer 当统一认证中心
当你的系统不止一个前端(Web + App + 小程序),又想让所有客户端共用一套登录态,硬接多个第三方就不可维护了。这时应该把第三方登录逻辑收口到自己的 IdentityServer 实例里,让 Web App 只跟它对话。
IdentityServer 本身支持通过 ICustomGrantValidator 或 IProfileService 扩展第三方 token 验证,但更常用的是在 AccountController 里调用微信/支付宝 SDK 完成扫码或授权码换取,再用 IssueJwtToken 发出你自己的 token。
- 微信公众号登录需在
OAuth2Api.GetAccessTokenAsync()后校验openid和unionid,不能只存access_token - 支付宝小程序返回的是
auth_code,必须用服务端alipay.system.oauth.token接口换 token,前端传过来的 code 有效期只有 10 分钟,超时要提示重试 - Duende(新版 IdentityServer)默认禁用
GetProfileDataAsync的缓存,如果频繁查用户信息,记得加[AllowAnonymous]并手动缓存sub对应的数据库记录
Blazor Server / WASM 直连第三方时的 Cookie 与 CORS 陷阱
Blazor Server 默认依赖服务端 Session/Cookie 维持登录态,但第三方回调地址(如 /signin-github)是服务端处理的,所以没问题;Blazor WASM 就完全不同:它运行在浏览器沙箱里,无法直接读写服务端 Cookie,也不能跨域发带 credentials 的 fetch 请求。
结果就是:WASM 项目里用 NavigationManager.NavigateTo("https://github.com/login/oauth/authorize?...") 能跳转,但回调回来后,HttpContext.User 是空的 —— 因为回调页没经过你的 API,也没法设置 Set-Cookie。
- 解决方案只有两个:① 回调地址指向一个轻量 ASP.NET Core MVC 页面(如
/auth/callback),由它完成 token 换取并写入 cookie,再重定向回 WASM;② 改用 token-based 流程,回调页用 JS 解析 URL hash 中的access_token,再通过HttpClient把它 POST 给你的 API 接口做绑定 - 别在 WASM 的
Program.cs里注册AddAuthentication().AddCookie()—— 它根本不会生效,因为没有服务端 Cookie 容器 - GitHub 的
scope=user:email在回调时不一定返回 email(用户可能设为私密),要用https://api.github.com/user/emails再查一次,且需在请求头加Authorization: Bearer xxx
第三方登录失败时怎么定位是哪一层的问题
错误常出现在三处:前端跳转参数拼错、第三方平台配置不匹配、服务端回调处理异常。最有效的排查顺序是看 HTTP 跳转链和日志输出,而不是猜。
- 用浏览器开发者工具的 Network 标签,过滤
oauth或authorize,确认跳转 URL 中的redirect_uri是否被 URL 编码过两次(常见于手拼字符串) - 在
OnRemoteFailure事件里加logger.LogError(e.Failure, "OIDC remote failure"),很多平台(如企业微信)会返回带errcode的 JSON 错误页,但中间件默认不记录原始响应体 - 微信开放平台报
redirect_uri域名与后台配置不一致,不是指你填的redirect_uri域名,而是指该域名是否已备案、是否在「公众号网页授权」白名单中 —— 这个白名单和「JS接口安全域名」是两套系统,容易漏配
第三方登录看着是“点一下授权”,背后涉及协议细节、平台策略、部署环境三重约束。最容易被忽略的是回调路径的大小写敏感性(IIS 默认不区分,Nginx 默认区分)和时间戳签名有效期(支付宝要求 timestamp 与服务器时间误差不超过 15 分钟)。
