首先得指出你当前代码里的两个小问题：一是路径写法有转义问题，UNC路径应该用@"\\sharedfolder\images"或者"\\\\sharedfolder\\images"；二是默认情况下应用的运行身份（比如IIS应用池的ApplicationPoolIdentity）没有访问网络共享的权限，而且PhysicalFileProvider本身不支持直接传入凭据访问UNC路径。下面给你两种可行的解决方案，根据你的部署场景选就行：

方案一：修改应用运行身份（适合IIS部署场景，简单直接） #

这个方法不需要改太多代码，核心是让你的应用以有权限访问共享文件夹的账户运行：

1. 打开IIS管理器，找到你的应用对应的应用程序池
2. 右键选择「高级设置」，在「进程模型」下找到「标识」选项
3. 选择「自定义账户」，点击「设置」，输入拥有共享文件夹读取权限的Windows账户（可以是域账户、本地管理员账户，确保这个账户在共享文件夹的「共享权限」和「NTFS权限」里都被分配了读取权限）
4. 修改你的静态文件配置代码，修正路径写法：

   app.UseStaticFiles(new StaticFileOptions() 
   { 
       // 用@符号避免转义问题
       FileProvider = new PhysicalFileProvider(@"\\sharedfolder\images"),
       // 可选：设置前端访问的URL路径，比如访问https://yourdomain.com/images/xxx.jpg
       RequestPath = "/images"
   });
   

方案二：使用身份模拟（适合不能修改应用运行身份的场景） #

如果没法改应用池身份，你可以通过Windows身份模拟，让访问共享文件夹的操作临时切换到有权限的账户。步骤如下：

1. 写一个身份模拟的辅助类 #

这个类用来封装Windows API的身份验证逻辑：

using System;
using System.Runtime.InteropServices;
using System.Security.Principal;

public class ImpersonationHelper
{
    [DllImport("advapi32.dll", SetLastError = true, CharSet = CharSet.Unicode)]
    private static extern bool LogonUser(string lpszUsername, string lpszDomain, string lpszPassword,
        int dwLogonType, int dwLogonProvider, out IntPtr phToken);

    [DllImport("kernel32.dll", CharSet = CharSet.Auto)]
    private extern static bool CloseHandle(IntPtr handle);

    public static IDisposable ImpersonateUser(string username, string domain, string password)
    {
        IntPtr token = IntPtr.Zero;
        try
        {
            // 交互式登录类型，适合访问网络资源
            bool success = LogonUser(username, domain, password, 2, 0, out token);
            if (!success)
                throw new System.ComponentModel.Win32Exception(Marshal.GetLastWin32Error());

            WindowsIdentity identity = new WindowsIdentity(token);
            return identity.Impersonate();
        }
        catch
        {
            if (token != IntPtr.Zero)
                CloseHandle(token);
            throw;
        }
    }
}

2. 自定义支持身份模拟的FileProvider #

因为PhysicalFileProvider是延迟加载的，每次访问文件时才会去读取共享路径，所以我们需要包装它，在每个文件操作前模拟身份：

using Microsoft.Extensions.FileProviders;

public class ImpersonatedFileProvider : IFileProvider
{
    private readonly PhysicalFileProvider _innerProvider;
    private readonly string _username;
    private readonly string _domain;
    private readonly string _password;

    public ImpersonatedFileProvider(string rootPath, string username, string domain, string password)
    {
        _innerProvider = new PhysicalFileProvider(rootPath);
        _username = username;
        _domain = domain;
        _password = password;
    }

    public IDirectoryContents GetDirectoryContents(string subpath)
    {
        using (ImpersonationHelper.ImpersonateUser(_username, _domain, _password))
        {
            return _innerProvider.GetDirectoryContents(subpath);
        }
    }

    public IFileInfo GetFileInfo(string subpath)
    {
        using (ImpersonationHelper.ImpersonateUser(_username, _domain, _password))
        {
            return _innerProvider.GetFileInfo(subpath);
        }
    }

    public IChangeToken Watch(string filter)
    {
        using (ImpersonationHelper.ImpersonateUser(_username, _domain, _password))
        {
            return _innerProvider.Watch(filter);
        }
    }
}

3. 在中间件中使用自定义FileProvider #

最后替换原来的PhysicalFileProvider为我们的自定义实现：

app.UseStaticFiles(new StaticFileOptions() 
{ 
    FileProvider = new ImpersonatedFileProvider(
        @"\\sharedfolder\images", 
        "你的有权限账户名", 
        "账户所在域或机器名", 
        "账户密码"
    ),
    RequestPath = "/images"
});

额外注意事项 #

• 一定要确保共享文件夹的共享权限和NTFS权限都给指定账户分配了读取权限，两者取最严格的配置生效
• 如果是开发环境用Kestrel运行，默认会用你当前登录的Windows身份，如果你当前账户有权限，直接用PhysicalFileProvider就能访问，不用额外配置
• 身份模拟的代码要注意错误处理，避免token泄漏

内容的提问来源于stack exchange，提问作者Sadaqat