【asp.net core 系列】13 Identity 身份驗證入門
阿新 • • 發佈:2020-06-24
# 0. 前言
通過前兩篇我們實現瞭如何在Service層如何訪問資料,以及如何運用簡單的加密演算法對資料加密。這一篇我們將探索如何實現asp.net core的身份驗證。
# 1. 身份驗證
asp.net core的身份驗證有 JwtBearer和Cookie兩種常見的模式,在這一篇我們將啟用Cookie作為身份資訊的儲存。那麼,我們如何啟用呢?
在Startup.cs 的ConfigureServices(IServiceCollection services) 方法裡新增如下:
```c#
services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
.AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
{
Configuration.Bind("CookieSettings",options);
});
```
此時可以啟動一個許可權驗證,當用戶訪問需要驗證的頁面或介面時,如果沒有登入,則會自動跳轉到:
```http
https://localhost:5001/Account/Login?ReturnUrl=XXXX
```
其中ReturnUrl指向來源頁。
## 1.1 設定驗證
當我們在Startup類裡設定啟用了身份驗證後,並不是訪問所有介面都會被跳轉到登入頁面。那麼如何設定訪問的路徑需要身份驗證呢?asp.net core為我們提供了一個特性類:
```c#
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class AuthorizeAttribute : Attribute, IAuthorizeData
{
public string Policy { get; set; }
public string Roles { get; set; }
public string AuthenticationSchemes { get; set; }
}
```
可以看的出,這個特性類允許設定在類、方法上,可以設定多個,允許子類繼承父類的特性。所以可以在控制器上設定`[Authorize]`,當在控制器上設定以後訪問控制器裡所有的Action都會要求驗證身份;也可以單獨設定在Action上,表示該Action需要驗證身份,控制器裡的其他方法不需要驗證。
## 1.2 設定忽略
我們在開發過程中,會遇到這樣的一組連結或者頁面:請求地址同屬於一個控制器下,但其中某個地址可以不用使用者登入就可以訪問。通常我們為了減少重複程式碼以及複用性等方面的考慮,會直接在控制器上設定身份驗證要求,而不是在控制器裡所有的Action上新增驗證要求。
那麼,我們如何放開其中的某個請求,可以允許它不用身份驗證。
```c#
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]
public class AllowAnonymousAttribute : Attribute, IAllowAnonymous
{
}
```
仔細觀察,可以看得出這個特性可以設定在類、方法上,不允許多次設定,允許子類繼承父類的特性。
這個特性的使用沒啥可說的,不過需要注意的是,不要與AuthorizeAttribute一起使用。雖然編譯上沒啥問題,但實際上會對程式設計師的邏輯照成一定程度的誤導。
# 2.儲存身份
有身份驗證,就必然需要儲存身份。當我們從資料庫中或者其他的三方服務中獲取到使用者資訊後,我們需要將使用者資訊儲存起來,而不是每次都向使用者或者服務提供方索求資訊。
在asp.net core中,Controller類裡有一個屬性:
```c#
public HttpContext HttpContext { get; }
```
HttpContext 提供了一個擴充套件方法,可以用來儲存使用者資訊:
```c#
public static Task SignInAsync(this HttpContext context, ClaimsPrincipal principal);
```
暫時忽略這個方法的返回型別,它接受了一個ClaimsPrincipal型別的引數。我們來看下這個類的基本情況吧:
```c#
public class ClaimsPrincipal : IPrincipal
{
public ClaimsPrincipal();
public ClaimsPrincipal(IEn