这个场景其实是典型的**服务器到服务器（Client Credentials Flow）**的OAuth2认证需求，你的思路方向是对的，但手动在两个HttpClient之间传递令牌确实容易出问题——比如并发请求下的令牌重复获取、过期判断不准确等。我给你一套更优雅且可靠的实现方案，用ASP.NET Core的IHttpClientFactory结合自定义委托处理器来自动搞定令牌的获取、缓存和刷新：

核心思路 #

不要手动在业务HttpClient里处理令牌逻辑，而是把令牌的获取、缓存、添加请求头这些操作封装到DelegatingHandler中。这样所有调用外部API的请求都会自动带上有效令牌，同时令牌会被缓存到过期前（甚至提前一点刷新，避免刚好过期的尴尬），完全不用Controller操心。

具体实现步骤 #

1. 定义令牌缓存服务（线程安全） #

首先需要一个单例服务来存储当前的有效令牌和过期时间，确保多线程环境下不会重复请求令牌：

public class OAuthTokenCache
{
    private readonly TokenHttpClient _tokenClient;
    private string _accessToken;
    private DateTime _expiresAt;
    private readonly object _lockObj = new object();

    public OAuthTokenCache(TokenHttpClient tokenClient)
    {
        _tokenClient = tokenClient;
    }

    public async Task<string> GetValidTokenAsync()
    {
        // 先检查现有令牌是否有效（提前1分钟刷新，避免刚好过期）
        lock (_lockObj)
        {
            if (!string.IsNullOrEmpty(_accessToken) && DateTime.UtcNow < _expiresAt.AddMinutes(-1))
            {
                return _accessToken;
            }
        }

        // 令牌过期或不存在，请求新令牌
        var newToken = await _tokenClient.RequestAccessTokenAsync();
        
        // 更新缓存（加锁确保线程安全）
        lock (_lockObj)
        {
            _accessToken = newToken.AccessToken;
            _expiresAt = DateTime.UtcNow.AddSeconds(newToken.ExpiresIn);
        }

        return _accessToken;
    }
}

2. 实现获取令牌的类型化HttpClient #

这个HttpClient专门用来向OAuth服务请求令牌，配置好基础地址和认证参数：

// 令牌响应模型（根据你的OAuth服务返回结构调整）
public class OAuthTokenResponse
{
    [JsonPropertyName("access_token")]
    public string AccessToken { get; set; }

    [JsonPropertyName("expires_in")]
    public int ExpiresIn { get; set; }

    [JsonPropertyName("token_type")]
    public string TokenType { get; set; }
}

public class TokenHttpClient
{
    private readonly HttpClient _httpClient;
    private readonly IConfiguration _configuration;

    public TokenHttpClient(HttpClient httpClient, IConfiguration configuration)
    {
        _httpClient = httpClient;
        _configuration = configuration;
    }

    public async Task<OAuthTokenResponse> RequestAccessTokenAsync()
    {
        // 从配置里读取OAuth参数
        var clientId = _configuration["OAuth:ClientId"];
        var clientSecret = _configuration["OAuth:ClientSecret"];
        var scope = _configuration["OAuth:Scope"];

        // 构造Client Credentials Flow的表单数据
        var formData = new Dictionary<string, string>
        {
            {"grant_type", "client_credentials"},
            {"client_id", clientId},
            {"client_secret", clientSecret},
            {"scope", scope}
        };

        var response = await _httpClient.PostAsync("/token", new FormUrlEncodedContent(formData));
        response.EnsureSuccessStatusCode(); // 处理请求失败的情况，比如参数错误

        return await response.Content.ReadFromJsonAsync<OAuthTokenResponse>();
    }
}

3. 创建自定义DelegatingHandler处理令牌注入 #

这个处理器会在每个外部API请求发送前，自动获取有效令牌并添加到请求头：

public class OAuthTokenHandler : DelegatingHandler
{
    private readonly OAuthTokenCache _tokenCache;

    public OAuthTokenHandler(OAuthTokenCache tokenCache)
    {
        _tokenCache = tokenCache;
    }

    protected override async Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        // 获取有效令牌
        var token = await _tokenCache.GetValidTokenAsync();
        request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

        // 发送请求
        var response = await base.SendAsync(request, cancellationToken);

        // 可选：如果遇到401，强制刷新令牌并重试一次（应对令牌提前过期的情况）
        if (response.StatusCode == HttpStatusCode.Unauthorized)
        {
            // 这里可以扩展一个强制刷新的方法，比如ClearAndRefreshTokenAsync
            token = await _tokenCache.GetValidTokenAsync();
            request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
            response = await base.SendAsync(request, cancellationToken);
        }

        return response;
    }
}

4. 在Startup中注册所有服务 #

把上面的服务和HttpClient都注册到依赖注入容器：

public void ConfigureServices(IServiceCollection services)
{
    // 注册令牌缓存（单例，确保全局共享令牌）
    services.AddSingleton<OAuthTokenCache>();

    // 注册获取令牌的类型化HttpClient
    services.AddHttpClient<TokenHttpClient>(client =>
    {
        client.BaseAddress = new Uri(_configuration["OAuth:TokenEndpointBaseUrl"]);
    });

    // 注册自定义令牌处理器
    services.AddTransient<OAuthTokenHandler>();

    // 注册外部API的类型化HttpClient，自动添加令牌处理器
    services.AddHttpClient<ExternalApiHttpClient>(client =>
    {
        client.BaseAddress = new Uri(_configuration["ExternalApi:BaseUrl"]);
    }).AddHttpMessageHandler<OAuthTokenHandler>();

    // 注册Controllers
    services.AddControllers();
}

5. 实现业务用的外部API HttpClient #

这个HttpClient专门用来调用外部API的业务接口，完全不用关心令牌：

// 外部API响应模型（根据实际接口调整）
public class ApiDataResponse
{
    public int Id { get; set; }
    public string Content { get; set; }
}

public class ExternalApiHttpClient
{
    private readonly HttpClient _httpClient;

    public ExternalApiHttpClient(HttpClient httpClient)
    {
        _httpClient = httpClient;
    }

    public async Task<ApiDataResponse> GetSpecificDataAsync(int dataId)
    {
        var response = await _httpClient.GetAsync($"/api/v1/data/{dataId}");
        response.EnsureSuccessStatusCode();
        return await response.Content.ReadFromJsonAsync<ApiDataResponse>();
    }
}

6. 在Controller中使用 #

现在Controller只需要注入业务HttpClient，直接调用接口即可：

[ApiController]
[Route("api/[controller]")]
public class DataProxyController : ControllerBase
{
    private readonly ExternalApiHttpClient _externalApiClient;

    public DataProxyController(ExternalApiHttpClient externalApiClient)
    {
        _externalApiClient = externalApiClient;
    }

    [HttpGet("{id}")]
    public async Task<IActionResult> GetData(int id)
    {
        var data = await _externalApiClient.GetSpecificDataAsync(id);
        return Ok(data);
    }
}

替代方案：使用IdentityModel库 #

如果不想自己写缓存逻辑，可以用IdentityModel这个成熟的库，它内置了令牌缓存、自动刷新等功能，能帮你省去不少重复代码。比如用它的TokenClient和ICache实现，直接集成到HttpClient中，代码会更简洁。不过自己实现的方案更灵活，适合简单场景，也容易调试。

内容的提问来源于stack exchange，提问作者Magnueil