.NET零信任认证架构：JWT+OAuth+RBAC工程化实践

1. 这不是又一个“JWT登录教程”，而是一套能扛住真实业务压力的认证防线

我带过六支不同行业的.NET开发团队，从金融后台到医疗SaaS，几乎每支队伍都踩过同一个坑：初期用一个简单的JWT Token生成+验证就上线了，半年后突然发现权限绕过漏洞、Token被恶意复用、第三方集成时OAuth流程崩得莫名其妙——最后全得推倒重写。这次标题里说的“.NET认证核武器”，不是夸张修辞，而是指一套在生产环境跑满三年、日均处理2700万次认证请求、从未因认证层问题导致安全事件的全栈方案。它把JWT的轻量、OAuth 2.1的标准化协议能力、RBAC的细粒度控制三者拧成一股绳，再用“零信任”原则贯穿始终：不默认信任任何环节，每个请求都必须独立验证身份、权限、上下文、时效性。关键词很明确：.NET、JWT、OAuth、RBAC、零信任。这不是给刚学完IdentityServer文档的新手看的Demo，而是给正在设计中大型系统认证模块的架构师、技术负责人、资深后端工程师准备的实战手册。如果你正面临单体向微服务演进、多租户权限隔离、第三方应用接入、或审计合规（如等保2.0三级）压力，这篇内容里的每一个配置项、每一行代码、每一次取舍，都来自真实压测和线上事故反推。

2. 为什么必须抛弃“JWT即一切”的幻觉？零信任认证的底层逻辑重构

2.1 JWT不是银弹，而是“有状态的无状态令牌”

很多人一提.NET认证就直接上AddJwtBearer，以为加个密钥、配个Issuer就万事大吉。但真实世界里，JWT最大的陷阱在于它的“无状态”假象。它确实不需要服务端存储Session，可一旦签发，除非过期，服务端就无法主动作废——这和零信任“持续验证、动态授权”的核心精神完全相悖。我见过最典型的事故：某HR系统员工离职后，其JWT仍在30天有效期内被同事用抓包工具复用，成功导出了全员薪资表。原因很简单：Token没吊销机制，权限变更不触发Token刷新。

真正的零信任要求我们把JWT当作一个“短期通行证”，而非“终身身份证”。它只承载最基础的身份断言（如sub、iss、exp），所有权限决策必须实时查询、动态计算。这就引出了第一个关键重构：JWT只负责身份认证（Authentication），绝不承担授权（Authorization）职责。权限检查必须剥离到独立的中间件或策略服务中，且每次HTTP请求都必须走一遍。

2.2 OAuth 2.1不是“给前端一个Code”，而是构建可信委托链

很多团队把OAuth当成“让微信/钉钉登录”的快捷方式，只实现了Authorization Code Flow的前半段（获取Code），却忽略了后半段的严肃性：Token Exchange、PKCE校验、Client Authentication、Scope精细化管控。在零信任模型下，OAuth是建立“可信委托链”的基础设施。它强制要求：

• 第三方客户端必须注册并获得唯一client_id与client_secret（或使用PKCE防止授权码劫持）；
• 每次Token请求必须携带code_verifier，服务端比对code_challenge；
• scope字段必须严格映射到RBAC中的Permission集合，而非简单字符串；

我曾重构过一个政府项目，原系统允许第三方App申请all_data:read这种宽泛Scope，结果审计时被一票否决。整改后，我们定义了user:profile:read、user:contact:read、org:department:list等47个原子级Scope，并在数据库中与RBAC的Permission表建立1:1映射。每次OAuth Token发放，都通过SQL JOIN实时校验该Client是否有权获取所请求的Scope——这步不能靠缓存，必须是强一致查询。

2.3 RBAC不是“用户-角色-菜单”三层表，而是运行时策略引擎

传统RBAC常被简化为三张表：Users、Roles、UserRoles，再加个RolePermissions。但这在零信任下远远不够。真实业务需要：

• 上下文感知：同一角色，在工作日9点和凌晨2点，访问财务模块的权限应不同；
• 资源实例级控制：销售经理能查看自己团队的客户，但不能看其他团队的；
• 临时权限授予：IT支持人员需临时获得某服务器的SSH权限，有效期2小时；

因此，我们的RBAC实现不是静态关系，而是一个运行时策略引擎。它接收三个输入：当前User（来自JWT）、请求Resource（如/api/v1/invoices/{id}）、Action（如GET），然后执行以下链式判断：

1. 解析JWT中的role_ids（非字符串，是整型数组）；
2. 查询RolePermission表，获取该角色拥有的所有permission_code（如invoice:read:own）；
3. 调用IResourcePolicyProvider接口，传入{id}路径参数，动态解析资源归属（如查Invoices表确认owner_id == user_id）；
4. 若存在invoice:read:all权限，则跳过第3步，直接放行；
5. 所有判断通过，才返回200 OK。

这个过程耗时必须控制在15ms内（我们实测平均8.3ms），否则会成为性能瓶颈。为此，我们把RolePermission做了内存缓存（IMemoryCache），但缓存Key包含role_id + tenant_id，避免多租户污染；而资源归属判断则用Dapper原生SQL直连，绕过EF Core的延迟加载开销。

3. MCP：微软认证专家视角下的.NET认证工程化落地

3.1 MCP不是考试代号，而是“最小可行认证平台”的缩写

标题里的“MCP”，在这里不是指微软认证专家（Microsoft Certified Professional），而是我们内部定义的Minimum Viable Certification Platform——最小可行认证平台。它不是一个巨石应用，而是一组高内聚、低耦合的NuGet包，每个包解决一个认证领域的具体问题，可按需组合。这套设计源于一次惨痛教训：某电商项目初期把所有认证逻辑塞进AuthController，后来要接入支付宝小程序、海关报关系统、内部BI工具，每个渠道的OAuth流程、Token格式、签名算法都不同，改一处崩十处。MCP的诞生，就是为终结这种“上帝控制器”。

MCP包含四个核心包：

• Mcp.Core：定义IIdentityService、IPermissionChecker等抽象，以及AuthenticationResult、AuthorizationContext等统一模型；
• Mcp.Jwt：封装JWT签发/验证，支持RSA2048密钥轮换（AddJwtBearer原生不支持密钥自动切换）；
• Mcp.OAuth：实现OAuth 2.1 Authorization Code Flow完整流程，内置PKCE、Client Credentials Flow、Refresh Token滚动更新；
• Mcp.Rbac：提供[RequirePermission("user:profile:edit")]特性、IAuthorizationHandler实现、以及基于Expression Tree的动态策略构建器。

所有包均通过Microsoft.Extensions.DependencyInjection注册，且严格遵循依赖倒置原则——上层业务代码只依赖Mcp.Core，绝不引用具体实现。这样，当某天需要替换JWT为FIDO2无密码认证时，只需引入Mcp.Fido2包并修改DI注册，业务代码零改动。

3.2 密钥管理：别把RSA私钥硬编码在appsettings.json里

这是.NET开发者最容易栽跟头的地方。我审过不下20个开源项目的Startup.cs，看到AddJwtBearer(opt => opt.SecurityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("MySuperSecretKey123!"))就立刻叉掉。对称密钥在分布式环境下无法安全分发，且一旦泄露，所有历史Token都可伪造。零信任要求密钥必须满足：

• 非对称：使用RSA或ECDSA，公钥可公开分发，私钥严格保护；
• 轮换：密钥必须定期更换（我们设为90天），且新旧密钥需共存一段过渡期（7天），确保未过期Token仍可验证；
• 隔离：私钥绝不出现在源码、配置文件、CI/CD日志中。

我们的方案是：将RSA私钥存于Azure Key Vault（或本地Windows DPAPI），启动时通过托管标识（Managed Identity）获取。关键代码如下：

// Program.cs var builder = WebApplication.CreateBuilder(args); builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = builder.Configuration["Jwt:Issuer"], ValidAudience = builder.Configuration["Jwt:Audience"], IssuerSigningKey = await GetRsaSecurityKeyAsync(builder.Configuration) // 异步获取 }; }); // 单独方法，避免阻塞启动 static async Task<SecurityKey> GetRsaSecurityKeyAsync(IConfiguration config) { var keyVaultUrl = config["KeyVault:Url"]; var client = new SecretClient(new Uri(keyVaultUrl), new DefaultAzureCredential()); var secret = await client.GetSecretAsync("Jwt-RSA-PrivateKey-Pem"); var pem = secret.Value.Value; var rsa = RSA.Create(); rsa.ImportFromPem(pem.ToCharArray(), _ => true); // 忽略密码，因Key Vault已做权限控制 return new RsaSecurityKey(rsa); }

提示：ImportFromPem方法在.NET 6+原生支持，无需额外NuGet包。若用.NET 5，需安装System.Security.Cryptography.Pkcs。

3.3 OAuth客户端注册：不是填个表单，而是建立双向信任契约

很多团队把OAuth Client注册做成一个简单的管理后台表单：输入client_name、redirect_uri、scopes就完事。这在零信任下是重大风险。真正的Client注册必须是双向信任契约，包含：

• 强制PKCE支持：require_pkce = true，拒绝不带code_challenge_method的授权请求；
• 严格Redirect URI白名单：支持通配符但禁止*.example.com这种宽泛匹配，必须精确到https://app.example.com/callback；
• Client Secret轮换机制：提供“立即轮换”按钮，旧Secret在24小时内失效，新Secret即时生效；
• Scope绑定审计日志：每次修改Scope，记录操作人、时间、变更前后值。

我们用一张oauth_clients表实现，关键字段如下：

注意：client_secret_hash存储的是SHA256(client_secret + salt)，salt为每个Client独立生成并存于client_salt字段。这样即使数据库泄露，也无法反推原始Secret。

4. 全栈实战：从Controller到Angular，一条请求的零信任之旅

4.1 后端：三层拦截网——JWT验证、Scope校验、RBAC策略执行

以一个典型的订单导出接口为例：GET /api/v1/orders/export?format=csv。在零信任模型下，它要经过三层拦截：

第一层：JWT Bearer验证（框架级）
由AddJwtBearer中间件完成，仅验证签名、过期、Issuer/Audience。成功后，HttpContext.User.Identity.IsAuthenticated为true，且ClaimsPrincipal中包含sub、name、role_ids等声明。此层不检查权限，只确认“你是谁”。

第二层：OAuth Scope校验（路由级）
我们在Program.cs中为该Endpoint显式声明所需Scope：

app.MapGet("/api/v1/orders/export", [Authorize(Policy = "OrderExportScope")] async (...) { // 业务逻辑 });

对应策略在Program.cs注册：

builder.Services.AddAuthorization(options => { options.AddPolicy("OrderExportScope", policy => { policy.RequireAuthenticatedUser(); policy.RequireClaim("scope", "order:export"); // JWT中必须含此scope }); });

注意：scope声明由OAuth Token Endpoint在签发时注入，不是前端随便加的。如果JWT中没有"scope": "order:export"，此层直接返回403 Forbidden。

第三层：RBAC实例级策略（代码级）
即使前两层通过，导出操作仍需检查用户是否有权导出“当前租户”的订单。我们在Controller中注入IPermissionChecker：

[HttpGet("/api/v1/orders/export")] public async Task<IActionResult> ExportOrders([FromQuery] string format) { var userId = User.FindFirstValue(ClaimTypes.NameIdentifier); var tenantId = GetCurrentTenantId(); // 从JWT或Header中提取 // 检查：用户是否有导出本租户订单的权限 var canExport = await _permissionChecker.CheckAsync( userId, "order:export", new { tenant_id = tenantId }); // 传递上下文参数 if (!canExport) return Forbid(); // 403 // 执行导出... }

CheckAsync内部会查询UserRoles→RolePermissions→PermissionPolicies，最终执行SQL：

SELECT COUNT(1) FROM user_roles ur JOIN role_permissions rp ON ur.role_id = rp.role_id JOIN permission_policies pp ON rp.permission_id = pp.permission_id WHERE ur.user_id = @userId AND rp.permission_code = 'order:export' AND pp.tenant_id = @tenantId AND pp.is_active = 1

4.2 前端：Angular中的Token生命周期管理——不是localStorage存一下就完事

前端常犯的错误是把JWT存在localStorage，认为“方便”。但零信任要求：Token必须受控、可撤销、有时效。localStorage无法被服务端主动清理，且易受XSS攻击窃取。我们的Angular方案是：

• Token存于内存（in-memory）：使用BehaviorSubject管理，页面刷新即丢失；
• 自动续期（Silent Refresh）：在Token过期前5分钟，用Refresh Token静默请求新Token；
• 登出即销毁：调用AuthService.logout()时，清空内存Token并调用后端/api/auth/revoke接口吊销Refresh Token。

关键代码（auth.service.ts）：

@Injectable({ providedIn: 'root' }) export class AuthService { private tokenSubject = new BehaviorSubject<string | null>(null); public token$ = this.tokenSubject.asObservable(); constructor(private http: HttpClient) { // 页面加载时尝试从内存恢复（非localStorage！） const savedToken = sessionStorage.getItem('auth_token'); if (savedToken) { this.tokenSubject.next(savedToken); this.startSilentRefresh(savedToken); } } login(code: string): Observable<void> { return this.http.post<TokenResponse>('/api/auth/token', { code }).pipe( tap(res => { // 仅存于sessionStorage，非localStorage！ sessionStorage.setItem('auth_token', res.access_token); this.tokenSubject.next(res.access_token); this.startSilentRefresh(res.access_token); }) ); } private startSilentRefresh(token: string) { const expiresAt = this.getExpiresAt(token); const refreshInMs = Math.max(0, expiresAt - Date.now() - 5 * 60 * 1000); // 提前5分钟 setTimeout(() => { this.refreshToken().subscribe(); }, refreshInMs); } private refreshToken(): Observable<void> { const refreshToken = sessionStorage.getItem('refresh_token'); if (!refreshToken) return of(null); return this.http.post<RefreshResponse>('/api/auth/refresh', { refresh_token: refreshToken }).pipe( tap(res => { sessionStorage.setItem('auth_token', res.access_token); sessionStorage.setItem('refresh_token', res.refresh_token); this.tokenSubject.next(res.access_token); }) ); } }

注意：sessionStorage在页面关闭后自动清除，比localStorage安全得多。而refresh_token也必须加密存储（我们用AES-256-GCM，密钥由服务端下发的一次性密钥派生）。

4.3 微服务间调用：用Backchannel Token代替原始JWT

当订单服务需要调用用户服务获取买家信息时，不能把原始JWT直接透传——这违反了最小权限原则（订单服务不该拥有user:profile:read权限）。零信任要求：服务间调用必须使用专用的Backchannel Token，其scope仅限本次调用所需。

我们设计了一个/api/auth/backchannel端点，订单服务调用时发送：

POST /api/auth/backchannel HTTP/1.1 Authorization: Bearer <orders-service-jwt> Content-Type: application/json { "target_service": "users", "required_scope": "user:profile:read", "resource_id": "12345" // 买家ID，用于RBAC实例校验 }

认证服务验证调用方（订单服务）是否有权代表用户获取该资源后，签发一个短时效（5分钟）的Backchannel Token，其中aud为users，scope为user:profile:read，并嵌入resource_id声明。用户服务收到此Token后，仅需验证aud和scope，无需再查数据库——因为Token本身已由认证中心担保了资源归属。

这种设计使服务间权限完全解耦：订单服务不知道用户服务的数据库结构，用户服务不关心订单服务的业务逻辑，所有策略由中央认证服务统一管控。

5. 踩坑实录：那些让认证系统崩溃的“小细节”

5.1 Clock Skew不是理论问题，是凌晨3点的生产告警

JWT的exp、nbf字段依赖时间戳，而服务器之间必然存在时钟偏差（Clock Skew）。.NET的TokenValidationParameters默认ClockSkew为5分钟，看似宽松，但在跨可用区部署时，A区服务器时间快3分钟，B区慢2分钟，合计偏差达5分钟——刚好卡在阈值边缘。我们遇到的真实案例：B区的API网关验证Token时，因本地时间比签发时间早2分钟，判定nbf未生效，拒绝所有请求，而A区正常。整个集群一半不可用。

解决方案不是调大ClockSkew（那会削弱安全性），而是统一NTP时间源。我们强制所有Linux服务器指向内网NTP服务器（pool.ntp.org不可靠），并用chrony替代ntpd，配置makestep 1.0 -1确保开机时快速校准。同时，在TokenValidationParameters中将ClockSkew设为TimeSpan.FromSeconds(30)，仅容忍30秒偏差——这要求NTP同步精度必须优于30秒，而chrony实测可稳定在±10ms内。

5.2 Role ID是int还是string？数据库迁移时的血泪教训

早期我们用int存Role ID，因为“ID当然是数字”。直到要做多租户，需要全局唯一Role ID，int撑不住了。强行改成BIGINT？不行，下游所有服务的DTO、缓存Key、日志分析脚本全要改。最后我们采用“语义化字符串ID”：role_{tenant_id}_{role_name}，如role_abc123_admin、role_xyz789_editor。好处是：

• 全局唯一，天然支持多租户；
• 可读性强，日志里一眼看出租户和角色；
• 缓存Key可直接用"role_perm_" + roleId，无需序列化。

但代价是：所有外键约束、索引、EF Core的HasForeignKey配置都要重写。我们花了两周时间，用EF Core的ValueConverter统一处理：

protected override void ConfigureConventions(ModelConfigurationBuilder configurationBuilder) { configurationBuilder.Properties<RoleId>() .HaveConversion<RoleIdToStringConverter>(); } public class RoleIdToStringConverter : ValueConverter<RoleId, string> { public RoleIdToStringConverter() : base( id => id.Value, // 转为字符串存储 value => new RoleId(value)) // 从字符串构造 { } }

提示：RoleId是自定义struct，重载了==、!=、GetHashCode，确保类型安全。

5.3 CORS预检请求（Preflight）撞上JWT验证中间件

这是Angular开发者最常问的问题：“为什么OPTIONS请求返回401？”原因在于：浏览器发POST /api/login前，先发OPTIONS预检，而我们的AddJwtBearer中间件对所有请求都执行验证，包括OPTIONS。但OPTIONS请求不带Authorization头，自然失败。

标准解法是在JWT验证前短路OPTIONS请求：

app.Use(async (context, next) => { if (context.Request.Method == "OPTIONS") { context.Response.StatusCode = 200; context.Response.Headers.Append("Access-Control-Allow-Origin", "*"); context.Response.Headers.Append("Access-Control-Allow-Methods", "GET,POST,PUT,DELETE,PATCH,OPTIONS"); context.Response.Headers.Append("Access-Control-Allow-Headers", "Content-Type,Authorization"); return; } await next(); }); app.UseAuthentication(); // 放在OPTIONS短路之后 app.UseAuthorization();

但更优雅的方案是用CorsPolicyProvider动态控制：

builder.Services.AddCors(options => { options.AddPolicy("AllowAll", policy => { policy.AllowAnyOrigin() .AllowAnyMethod() .AllowAnyHeader(); }); }); app.UseCors("AllowAll"); // UseCors必须在UseAuthentication之前！

.NET的UseCors中间件会自动处理OPTIONS，且不触发后续中间件，这才是正解。

6. 性能压测与监控：认证层不是黑盒，必须可量化、可追踪

6.1 认证中间件耗时必须<10ms，否则拖垮整个API

我们对认证层设定了硬性SLA：P99耗时≤10ms。超过此值，视为架构缺陷。压测工具用k6，脚本模拟1000并发用户，循环执行GET /api/v1/profile（需JWT+Scope+RBAC三重校验）：

import http from 'k6/http'; import { check, sleep } from 'k6'; export const options = { vus: 1000, duration: '5m', }; export default function () { const token = __ENV.JWT_TOKEN; // 从环境变量注入 const res = http.get('https://api.example.com/api/v1/profile', { headers: { 'Authorization': `Bearer ${token}` } }); check(res, { 'status was 200': (r) => r.status === 200 }); sleep(1); }

压测结果发现，当RBAC策略查询走EF Core时，P99达28ms。优化手段有三：

• 禁用EF Core跟踪：AsNoTracking()，因权限查询只读；
• 原生SQL替代LINQ：用FromSqlRaw执行JOIN，避免EF生成的复杂SQL；
• 内存缓存Role-Permission映射：IMemoryCache缓存role_id → List<permission_code>，TTL设为10分钟（权限变更不频繁）。

优化后P99降至6.2ms，满足SLA。

6.2 认证失败必须分类埋点，而不是笼统记个“401”

监控不是看“认证成功率”，而是看“为什么失败”。我们定义了7类认证失败事件，全部上报到OpenTelemetry：

在Grafana中，我们创建了“认证失败热力图”，横轴是事件类型，纵轴是租户ID，颜色深浅表示失败次数。某天发现rbac_permission_denied在租户def456陡增，排查发现是该租户的管理员误删了admin角色的user:manage权限——问题在5分钟内定位。

6.3 审计日志：不是记录“谁登录了”，而是记录“谁在什么上下文访问了什么资源”

零信任的审计日志必须满足“五元组”：subject（用户）、action（操作）、resource（资源）、context（上下文）、result（结果）。我们用AuditLogEntry实体记录：

public class AuditLogEntry { public Guid Id { get; set; } public string SubjectId { get; set; } // 用户ID public string SubjectName { get; set; } // 用户名 public string Action { get; set; } // "GET", "POST" public string Resource { get; set; } // "/api/v1/orders/789" public string Context { get; set; } // JSON: {"ip":"192.168.1.100","ua":"Chrome/120","tenant_id":"abc123"} public bool IsSuccess { get; set; } public DateTime Timestamp { get; set; } }

关键点在于Context字段必须包含可定位的上下文：IP地址（非代理IP）、User-Agent、租户ID、甚至设备指纹（前端JS生成）。这样当发生安全事件时，能精准回溯：不是“张三登录了”，而是“张三（IP 203.0.113.5，Chrome浏览器）在租户abc123下，于2024-03-15T08:22:15访问了/finance/balance，结果403”。

我们用ActionFilterAttribute统一拦截：

public class AuditLoggingFilter : IActionFilter { public void OnActionExecuting(ActionExecutingContext context) { var entry = new AuditLogEntry { SubjectId = context.HttpContext.User.FindFirstValue("sub"), SubjectName = context.HttpContext.User.FindFirstValue("name"), Action = context.HttpContext.Request.Method, Resource = context.HttpContext.Request.Path, Context = JsonSerializer.Serialize(new { ip = context.HttpContext.Connection.RemoteIpAddress, ua = context.HttpContext.Request.Headers["User-Agent"].ToString(), tenant_id = GetCurrentTenantId(context.HttpContext) }), Timestamp = DateTime.UtcNow }; _auditLogger.Log(entry); } public void OnActionExecuted(ActionExecutedContext context) { var entry = context.HttpContext.Items["AuditLogEntry"] as AuditLogEntry; if (entry != null) { entry.IsSuccess = context.Exception == null && context.Result is ObjectResult; _auditLogger.SaveAsync(entry); } } }

提示：Context序列化用System.Text.Json，避免Newtonsoft.Json的循环引用异常；SaveAsync用Dapper批量插入，每100条或1秒刷一次，避免IO阻塞。

7. 最后一点个人体会：认证不是功能，而是产品思维的试金石

干了十多年.NET，我越来越确信：一个团队对认证系统的理解深度，直接暴露其工程成熟度。把JWT当登录功能来做的团队，往往也把日志当调试工具、把监控当KPI指标、把测试当上线前仪式。而真正把认证当产品来打磨的团队，会做这些事：

• 给第三方开发者提供沙箱环境，让他们自助注册Client、调试OAuth流程；
• 为前端团队输出TypeScript SDK，封装Token自动续期、错误分类重试；
• 把RBAC权限树做成可视化编辑器，让产品经理拖拽配置，而非写SQL；
• 认证失败页面不是冰冷的401，而是带“一键联系管理员”按钮的友好提示。

标题里说的“核武器”，不是指技术多炫酷，而是指它能像核威慑一样，让所有参与者——开发、测试、运维、安全、产品——都敬畏规则、尊重边界、主动协同。当你不再问“怎么实现JWT登录”，而是问“如何让100个团队在同一个认证平台上安全协作”，你就真正踏入了零信任的大门。

我在实际项目中发现，最有效的推进方式不是开技术评审会，而是带着运维和安全同事一起跑一次完整的渗透测试：从注册Client、抓包、篡改Token、暴力爆破Scope，到最终拿到敏感数据。当他们亲眼看到某个配置疏漏导致全线失守时，所有关于“要不要加这层校验”的争论，瞬间消失。技术方案的价值，永远在真实对抗中显现。