HTML5技术

ASP.NET Core 使用Cookie验证身份 - Sweet-Tang

字号+ 作者:H5之家 来源:H5之家 2017-08-24 17:00 我要评论( )

ASP.NET Core 使用Cookie验证身份 ASP.NET Core 1.x提供了通过Cookie 将用户主体序列化为一个加密的Cookie,然后在后续请求中验证Cookie并重新创建主体,并将其分配给HttpContext.User属性。如果您要提供自己的登录界面和用户数据库,可以使用作为独立功能的

ASP.NET Core 使用Cookie验证身份

ASP.NET Core 1.x提供了通过Cookie 将用户主体序列化为一个加密的Cookie,然后在后续请求中验证Cookie并重新创建主体,并将其分配给HttpContext.User属性。如果您要提供自己的登录界面和用户数据库,可以使用作为独立功能的Cookie中间件。

ASP.NET Core 2.x的一个主要变化是不再存在Cookie中间件。取而代之的是在Startup.cs文件中的Configure方法中的调用UseAuthentication方法会添加设置HttpContext.User属性的 AuthenticationMiddleware 中间件。

添加配置 ASP.NET Core 1.x

按下列步骤操作:

  • 在您的项目中安装Microsoft.AspNetCore.Authentication.CookiesNuGet包。此包包含Cookie中间件。

  • 在Startup.cs文件中的Configure方法中添加下面的行,在app.UseMvc()语句之前:

    app.UseCookieAuthentication(new CookieAuthenticationOptions() { AccessDeniedPath = "/Account/Forbidden/", AuthenticationScheme = "MyCookieAuthenticationScheme", AutomaticAuthenticate = true, AutomaticChallenge = true, LoginPath = "/Account/Unauthorized/" });
  • ASP.NET Core 2.x

    按下列步骤操作:

  • 如果不使用Microsoft.AspNetCore.All 元包,则在您的项目中安装2.0版的Microsoft.AspNetCore.Authentication.CookiesNuGet包。

  • 在Startup.cs文件中的Configure方法中调用UseAuthentication方法:

    app.UseAuthentication();
  • 在Startup.cs文件中的ConfigureServices方法中调用AddAuthentication和AddCookie方法:

    services.AddAuthentication("MyCookieAuthenticationScheme") .AddCookie(options => { options.AccessDeniedPath = "/Account/Forbidden/"; options.LoginPath = "/Account/Unauthorized/"; });
  • 上面的代码片段配置了以下部分或全部选项:

    包括为Cookie认证创建的设置选项,身份验证的Cookie的名称,Cookie的域和Cookie各种安全属性。默认情况下,Cookie身份验证为其创建的任何Cookie使用适当的安全选项,例如:

  • 设置HttpOnly标志以防止客户端JavaScript中访问Cookie
  • 如果请求是通过HTTPS访问,则将Cookie限制为HTTPS
  • 创建身份认证Cookie

    要创建一个保存用户信息的cookie,您必须构建一个ClaimsPrincipal 保存您希望序列化到Cookie中的信息。

    ASP.NET Core 1.x await HttpContext.Authentication.SignInAsync("MyCookieAuthenticationScheme", principal); ASP.NET Core 2.x await HttpContext.SignInAsync("MyCookieAuthenticationScheme", principal);

    这将创建一个加密的Cookie并将其添加到当前响应中。在调用SignInAsync时,必须在中指定的AuthenticationScheme。

    顺便提一下,使用的加密方式是ASP.NET Core的系统。如果您在多台机器上进行托管、负载平衡或使用Web集群,则需要才能使用相同的密钥和应用程序标识符。

    Signing out(登出)

    要退出当前用户并删除其Cookie,请在控制器中调用以下方法:

    ASP.NET Core 1.x await HttpContext.Authentication.SignOutAsync("MyCookieAuthenticationScheme"); ASP.NET Core 2.x await HttpContext.SignOutAsync("MyCookieAuthenticationScheme"); 服务端变化反馈

    警告: 一旦创建了认证的Cookie,它将成为唯一的身份来源。即使您在服务系统中禁用用户,Cookie身份验证也无法了解此信息,只要Cookie有效,用户仍可登录。

    Cookie认证在其选项中提供了一系列事件。ValidateAsync()事件可用于拦截和重写Cookie身份验证。

    可以考虑在后端用户数据库中增加LastChanged列。为了在数据库更改时使Cookie无效,您应该首先在时添加一个LastChanged包含当前值的声明。数据库更改时,更新LastChanged例的值。

    要重写ValidateAsync()事件的实现,您必须编写一个具有以下签名的方法:

    Task ValidateAsync(CookieValidatePrincipalContext context);

    ASP.NET Core Identity 在SecurityStampValidator实现了这一逻辑,链接地址。示例如下所示:

    ASP.NET Core 1.x public static class LastChangedValidator { public static async Task ValidateAsync(CookieValidatePrincipalContext context) { // Pull database from registered DI services. var userRepository = context.HttpContext.RequestServices.GetRequiredService<IUserRepository>(); var userPrincipal = context.Principal; // Look for the last changed claim. string lastChanged; lastChanged = (from c in userPrincipal.Claims where c.Type == "LastUpdated" select c.Value).FirstOrDefault(); if (string.IsNullOrEmpty(lastChanged) || !userRepository.ValidateLastChanged(userPrincipal, lastChanged)) { context.RejectPrincipal(); await context.HttpContext.Authentication.SignOutAsync("MyCookieAuthenticationScheme"); } } }

    然后,在Startup.cs文件中的Configure方法中将Cokie认证配置进行重写:

    app.UseCookieAuthentication(new CookieAuthenticationOptions { Events = new CookieAuthenticationEvents { OnValidatePrincipal = LastChangedValidator.ValidateAsync } }); ASP.NET Core 2.x public static class LastChangedValidator { public static async Task ValidateAsync(CookieValidatePrincipalContext context) { // Pull database from registered DI services. var userRepository = context.HttpContext.RequestServices.GetRequiredService<IUserRepository>(); var userPrincipal = context.Principal; // Look for the last changed claim. string lastChanged; lastChanged = (from c in userPrincipal.Claims where c.Type == "LastUpdated" select c.Value).FirstOrDefault(); if (string.IsNullOrEmpty(lastChanged) || !userRepository.ValidateLastChanged(userPrincipal, lastChanged)) { context.RejectPrincipal(); await context.HttpContext.SignOutAsync("MyCookieAuthenticationScheme"); } } }

     

    1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

    相关文章
    • HTML5新特性: 自定义属性前缀data-以及dataset的使用 - ghostwu

      HTML5新特性: 自定义属性前缀data-以及dataset的使用 - ghostwu

      2017-08-25 10:01

    • Redis和消息队列使用实战 - 静儿1986

      Redis和消息队列使用实战 - 静儿1986

      2017-08-22 12:00

    • 升级项目到.NET Core 2.0,在Linux上安装Docker,并成功部署 - 王杰光

      升级项目到.NET Core 2.0,在Linux上安装Docker,并成功部署 - 王杰

      2017-08-18 10:01

    • .Net大局观(2).NET Core 2.0 特性介绍和使用指南 - L.P.Y

      .Net大局观(2).NET Core 2.0 特性介绍和使用指南 - L.P.Y

      2017-08-17 17:01

    网友点评