我之前在Service Fabric环境搭配HttpSys监听器的.NET Core 2.0 Web API项目里，遇到过和你完全一样的问题！折腾了好一阵才找到根源，大概率是HttpSys默认启用的Windows身份认证在干扰JWT的ClaimsPrincipal传递，下面给你拆解原因和解决步骤：

核心原因 #

HttpSys监听器在Service Fabric部署场景下，默认会自动启用Windows身份认证——哪怕你已经配置了JWT Bearer认证，这个默认的Windows认证会在请求管道中优先执行，导致IHttpContextAccessor最终拿到的是Windows身份主体，而不是你在TokenValidated事件中设置的自定义ClaimsPrincipal。

另外，.NET Core 2.0中IHttpContextAccessor的注册细节、认证中间件的管道顺序，也可能影响最终的主体获取结果。

解决步骤 #

1. 禁用HttpSys的默认Windows身份认证 #

在WebHost配置中明确关闭HttpSys的身份认证 schemes，让JWT Bearer成为唯一的认证方式：

public static IWebHost BuildWebHost(string[] args) =>
    WebHost.CreateDefaultBuilder(args)
        .UseHttpSys(options =>
        {
            // 禁用所有默认认证 schemes，避免Windows认证抢占
            options.Authentication.Schemes = AuthenticationSchemes.None;
        })
        .UseStartup<Startup>()
        .Build();

2. 确认IHttpContextAccessor的正确注册 #

.NET Core 2.0不会自动注册IHttpContextAccessor，必须手动添加单例注册（生命周期必须是Singleton，否则可能拿到错误的上下文）：

public void ConfigureServices(IServiceCollection services)
{
    // 确保这行代码存在，且是Singleton生命周期
    services.AddSingleton<IHttpContextAccessor, HttpContextAccessor>();
    
    // 你的JWT认证配置
    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options =>
        {
            // 你的JWT配置...
            options.Events = new JwtBearerEvents
            {
                OnTokenValidated = context =>
                {
                    // 这里确认你正确设置了自定义ClaimsPrincipal
                    var customIdentity = new ClaimsIdentity(context.Principal.Claims, JwtBearerDefaults.AuthenticationScheme);
                    context.Principal = new ClaimsPrincipal(customIdentity);
                    return Task.CompletedTask;
                }
            };
        });
        
    services.AddMvc();
}

3. 调整认证中间件的管道顺序 #

确保UseAuthentication()中间件在UseMvc()之前执行，这样认证逻辑会在MVC处理请求前完成：

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    // 其他中间件（比如UseHttpsRedirection）...
    
    // 必须在UseMvc之前调用UseAuthentication
    app.UseAuthentication();
    
    app.UseMvc();
}

4. 检查Service Fabric服务配置 #

在ServiceManifest.xml中，确认Endpoint的Protocol是https，且没有额外的Windows身份认证配置：

<Resources>
  <Endpoints>
    <Endpoint Name="ServiceEndpoint" Protocol="https" Type="Input" Port="443" />
  </Endpoints>
</Resources>

验证方法 #

修改完配置后，可以在TokenValidated事件中添加日志，确认自定义ClaimsPrincipal被正确设置；同时在需要使用IHttpContextAccessor的地方，打印HttpContext.User.GetType()和Claims信息，验证是否已经切换为JWT的ClaimsPrincipal。

内容的提问来源于stack exchange，提问作者Darren Ford