實作零信任架構的 .NET Core Web API 教學
零信任的核心是一句話:「永不信任,始終驗證」。聽起來像口號,落到 .NET Core Web API 上,它其實是一串很具體的工程動作——每個請求都要驗 JWT、每個端點都要授權、敏感資料落地前要加密、所有存取都要留稽核紀錄。 網路上談零信任的文章很多,但大多停在「驗證 token」這一步,把怎麼簽發 token、設定值放哪、middleware 怎麼掛這些「跑起來真正需要的東西」省略掉了。照著抄常常編譯失敗,或執行期吃一個 NullReferenceException。 這篇要做的,是一個從 dotnet new 開始、能完整跑起來的零信任 Web API。每段程式碼都接得上前一段,最後給你完整的 Program.cs 和 appsettings.json。 五個原則,對應五件事零信任這套架構,我把它拆成五個原則,每一個都對應後面一段實作: 永遠驗證 — 每個請求都驗身分(JWT 簽發與驗證) 最小權限 — 只給必要的存取權(授權政策) 假設破壞 — 當作網路已經被打進來(限流、安全標頭) 全程加密 — 通訊與落地資料都加密(HTTPS、AES) 持續監控 — 記錄並分析所有...




