2. 程式人生 > >在 ASP.NET Core 應用中使用 Cookie 進行身份認證

在 ASP.NET Core 應用中使用 Cookie 進行身份認證

阿新 發佈:2021-02-01
## Overview 身份認證是網站最基本的功能,最近因為業務部門的一個需求,需要對一個已經存在很久的小工具網站進行改造,因為在逐步的將一些離散的系統遷移至 .NET Core,所以趁這個機會將這個老的 .NET Framework 4.0 的專案進行升級 老的專案是一個 MVC 的專案並且有外網訪問的需求,大部門的微服務平臺因為和內部的業務執行比較密切,介於資安要求與外網進行了隔離,因此本次升級就不會遷移到該平臺上進行前後端分離改造 使用頻次不高,不存在高併發,實現週期短,所以就沒有必要為了用某些元件而用,因此這裡還是選擇沿用 MVC 框架,對於網站的身份認證則採用單體應用最常見的 Cookie 認證來實現,本篇文章則是如何實現的一個基礎的教程,僅供參考 ## Step by Step 在涉及到系統許可權管理的相關內容時,必定會提到兩個長的很像的單詞,`authentication`(認證) 和 `authorization`(授權) - authentication:用一些資料來證明你就是你,登入系統、指紋、面部解鎖就是一種認證的過程 - authorization:授予一些使用者去訪問一些特殊資源或功能的過程,系統包含管理員和普通使用者兩種角色,只有管理員才可以執行某些操作,賦予管理員角色某些操作的過程就是授權 只有認證和授權一起配合,才可以完成對於整個系統的許可權管控 ### 2.1、前期準備 假定現在已經存在了一個 ASP.NET Core MVC 應用,這裡以 VS 建立的預設專案為例,對於一個 MVC or Web API 應用,要求使用者必須登入之後才能進行訪問,最簡單的方式,在需要認證的 Controller 或 Action 上新增 `Authorize` 特性,然後在 `Startup.Configure` 方法中通過 `UseAuthorization` 新增中介軟體即可 ```csharp [Authorize] public class HomeController : Controller { public IActionResult Index() { return View(); } } ``` ```csharp public class Startup { public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { app.UseRouting(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllerRoute( "default", "{controller=Home}/{action=Index}/{id?}"); }); } } ``` 當然,當系統只包含一個兩個 Controller 時還好,當系統比較複雜的時候,再一個個的新增 `Authorize` 特性就比較麻煩了,因此這裡我們可以通過在 `Startup.ConfigureServices` 中新增全域性的 `AuthorizeFilter` 過濾器,實現對於全域性的認證管控 ```csharp public class Startup { public void ConfigureServices(IServiceCollection services) { services.AddControllersWithViews() .AddMvcOptions(options => { options.Filters.Add(new AuthorizeFilter()); }); } } ``` 此時,對於一些不需要進行認證就可以訪問的頁面,只需要新增 `AllowAnonymous` 特性即可 ```csharp public class AuthenticationController : Controller { [AllowAnonymous] public IActionResult Login() { return View(); } } ``` ### 2.2、配置認證策略 當然,如果只是這樣修改的話,其實是有問題的,可以看到,當新增上全域性過濾器後,系統已經無法正常的進行訪問 ![啟用授權中介軟體](https://img2020.cnblogs.com/blog/1310859/202101/1310859-20210131171057556-1571046437.png) 對於 authorization(授權) 來說,它其實是在 authentication(認證)通過之後才會進行的操作,也就是說這裡我們缺少了對於系統認證的配置,依據報錯資訊的提示,我們首先需要通過使用 `AddAuthentication` 方法來定義系統的認證策略 ![認證策略](https://img2020.cnblogs.com/blog/1310859/202101/1310859-20210131171112144-1802702885.png) `AddAuthentication` 方法位於 `Microsoft.AspNetCore.Authentication` 類庫中,通過在 Nuget 中搜索就可以發現,.NET Core 已經基於業界通用的規範實現了多個認證策略 因為這裡使用的 Cookie 認證已經包含在預設的專案模板中了,所以就不需要再引用了 ![新增認證服務](https://img2020.cnblogs.com/blog/1310859/202101/1310859-20210131171124848-1728869330.png) 基於 .NET Core 標準的服務使用流程,首先,我們需要在 `Startup.ConfigureServices` 方法來中通過 `AddAuthentication` 來定義整個系統所使用的一個授權策略,以及,基於我們採用 Cookie 授權的方式,結合目前網際網路針對跨站點請求偽造 (CSRF) 攻擊的防範要求,我們需要對網站的 Cookie 進行一些設定 ```csharp public class Startup { public void ConfigureServices(IServiceCollection services) { // 定義授權策略 services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme) .AddCookie(options => { // 無權訪問的頁路徑 options.AccessDeniedPath = new PathString("/permission/forbidden"); // 登入路徑 options.LoginPath = new PathString("/authentication/login"); // 登出路徑 options.LogoutPath = new PathString("/authentication/logout"); // Cookie 過期時間(20 分鐘) options.ExpireTimeSpan = TimeSpan.FromMinutes(20); }); // 配置 Cookie 策略 services.Configure(options => { // 預設使用者同意非必要的 Cookie options.CheckConsentNeeded = context => true; // 定義 SameSite 策略,Cookies允許與頂級導航一起傳送 options.MinimumSameSitePolicy = SameSiteMode.Lax; }); } } ``` 如程式碼所示,在定義授權策略時,我們定義了三個重定向的頁面,去告訴 Cookie 授權策略這裡對應的頁面在何處,同時,因為身份驗證 Cookie 的預設過期時間會持續到關閉瀏覽器為止,也就是說,只要使用者不點選退出按鈕並且不關閉瀏覽器,使用者會一直處於已經登入的狀態,所以這裡我們設定 20 分鐘的過期時間,避免一些不必要的風險 至此,對於 Cookie 認證策略的配置就完成了,現在就可以在 `Startup.Configure` 方法中新增 `UseAuthentication` 中介軟體到 HTTP 管道中,實現對於網站認證的啟用,這裡需要注意,因為是先認證再授權,所以中介軟體的新增順序不可以顛倒 ```csharp public class Startup { public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { app.UseRouting(); // 新增認證授權(順序不可以顛倒) // app.UseAuthentication(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllerRoute( "default", "{controller=Home}/{action=Index}/{id?}"); }); } } ``` 此時,當我們再次訪問系統時,因為沒有經過認證,自動觸發了重定向到系統登入頁面的操作,而這裡重定向跳轉的頁面就是上文程式碼中配置的 `LoginPath` 的屬性值 ![登入重定向](https://img2020.cnblogs.com/blog/1310859/202101/1310859-20210131171142449-1601441522.gif) ### 2.3、登入、登出實現 當認證策略配置完成之後,就可以基於選擇的策略來進行登入功能的實現。這裡的登入頁面上的按鈕,模擬了一個登入表單提交,當點選之後會觸發系統的認證邏輯,實現程式碼如下所示。這裡別忘了將登入事件的 Action 上加上 `AllowAnonymous` 特性從而允許匿名訪問 ```csharp [HttpPost] [AllowAnonymous] [ValidateAntiForgeryToken] public async Task LoginAsync() { // 1、Todo:校驗賬戶、密碼是否正確,獲取需要的使用者資訊 // 2、建立使用者宣告資訊 var claims = new List { new Claim(ClaimTypes.Name, "張三"), new Claim(ClaimTypes.MobilePhone, "13912345678") }; // 3、建立宣告身份證 var claimIdentity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme); // 4、建立宣告身份證的持有者 var claimPrincipal = new ClaimsPrincipal(claimIdentity); // 5、登入 await HttpContext.SignInAsync(claimPrincipal); return Redirect("/"); } ``` 在整塊的程式碼中,涉及到三個主要的物件,`Claim`、`ClaimsIdentity` 和 `ClaimsPrincipal`,通過對於這三個物件的使用,從而實現將使用者登入成功後系統所需的使用者資訊包含在 Cookie 中 三個物件之間的區別,借用[理解ASP.NET Core驗證模型(Claim, ClaimsIdentity, ClaimsPrincipal)不得不讀的英文博文](https://www.cnblogs.com/dudu/p/6367303.html)這篇部落格的解釋來說明 - Claim:被驗證主體特徵的一種表述,比如:登入使用者名稱是...,email是...,使用者Id是...,其中的“登入使用者名稱”,“email”,“使用者Id”就是 ClaimType - ClaimsIdentity:一組 claims 構成了一個 identity,具有這些 claims 的 identity 就是 ClaimsIdentity ,駕照就是一種 ClaimsIdentity,可以把 ClaimsIdentity理解為“證件”,駕照是一種證件,護照也是一種證件 - ClaimsPrincipal:ClaimsIdentity 的持有者就是 ClaimsPrincipal ,一個 ClaimsPrincipal 可以持有多個 ClaimsIdentity,就比如一個人既持有駕照,又持有護照 最後,通過呼叫 `HttpContext.SignInAsync` 方法就可以完成登入功能,可以看到,當 Cookie 被清除後,使用者也就處於登出的狀態了,當然,我們也可以通過手動的呼叫 `HttpContext.SignOutAsync` 來實現登出 ![登入實現](https://img2020.cnblogs.com/blog/1310859/202101/1310859-20210131171202686-907971576.gif) ### 2.4、獲取使用者資訊 對於新增在 Claim 中的資訊,我們可以通過指定 ClaimType 的方式獲取到,在 View 和 Controller 中,我們可以直接通過下面的方式進行獲取,這裡使用到的 User 其實就是上文中提到的 ClaimsPrincipal ```csharp var userName = User.FindFirst(ClaimTypes.Name)?.Value; ``` ![User 物件](https://img2020.cnblogs.com/blog/1310859/202101/1310859-20210131171222452-1250986420.png) 而當我們需要在一個獨立的類庫中獲取儲存的使用者資訊時,我們需要進行如下的操作 第一步,在 `Startup.ConfigureServices` 方法中注入 `HttpContextAccessor` 服務 ```csharp public class Startup { public void ConfigureServices(IServiceCollection services) { // 注入 HttpContext services.AddHttpContextAccessor(); } } ``` 第二步,在你需要使用的類庫中通過 Nuget 引用 `Microsoft.AspNetCore.Http`,之後就可以在具體的類中通過注入 `IHttpContextAccessor` 來獲取到使用者資訊,當然,也可以在此處實現登入、登出的方法 ```csharp namespace Sample.Infrastructure { public interface ICurrentUser { string UserName { get; } Task SignInAsync(ClaimsPrincipal principal); Task SignOutAsync(); Task SignOutAsync(string scheme); } public class CurrentUser : ICurrentUser { private readonly IHttpContextAccessor _httpContextAccessor; private HttpContext HttpContext => _httpContextAccessor.HttpContext; public CurrentUser(IHttpContextAccessor httpContextAccessor) { _httpContextAccessor = httpContextAccessor ?? throw new ArgumentNullException(nameof(httpContextAccessor)); } public string UserName => HttpContext.User.FindFirst(ClaimTypes.Name)?.Value; public Task SignInAsync(ClaimsPrincipal principal) => HttpContext.SignInAsync(principal); public Task SignOutAsync() => HttpContext.SignOutAsync(); public Task SignOutAsync(string scheme) => HttpContext.SignOutAsync(scheme); } } ``` 至此,整塊的認證功能就已經實現了,希望對你有所幫助 ## Reference 1. [SameSite cookies](https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Set-Cookie/SameSite) 2. [Work with SameSite cookies in ASP.NET Core](https://docs.microsoft.com/en-us/aspnet/core/security/samesite?view=aspnetcore-5.0) 3. [What does the CookieAuthenticationOptions.LogoutPath property do in ASP.NET Core 2.1?](https://stackoverflow.com/questions/52709492/what-does-the-cookieauthenticationoptions-logoutpath-property-do-in-asp-net-core) 4. [理解ASP.NET Core驗證模型(Claim, ClaimsIdentity, ClaimsPrincipal)不得不讀的英文博文](https://www.cnblogs.com/dudu/p/6367303.html) 5. [Introduction to Authentication with ASP.NET Core](https://andrewlock.net/introduction-to-authentication-with-asp-net

相關推薦

ASP.NET Core 應用使用 Cookie 進行身份認證

## Overview 身份認證是網站最基本的功能,最近因為業務部門的一個需求,需要對一個已經存在很久的小工具網站進行改造,因為在逐步的將一些離散的系統遷移至 .NET Core,所以趁這個機會將這個老的 .NET Framework 4.0 的專案進行升級 老的專案是一個 MVC 的專案並且有外網訪問的

ASP.NET Core的快取[1]:如何在一個ASP.NET Core應用使用快取

.NET Core針對快取提供了很好的支援 ,我們不僅可以選擇將資料快取在應用程序自身的記憶體中,還可以採用分散式的形式將快取資料儲存在一個“中心資料庫”中。對於分散式快取,.NET Core提供了針對Redis和SQL Server的原生支援。除了這個獨立的快取系統之外,ASP.NET Core還藉助一箇中

ASP.NET Core應用如何設定和獲取與執行環境相關的資訊?

HostingEnvironment是承載應用當前執行環境的描述,它是對所有實現了IHostingEnvironment介面的所有型別以及對應物件的統稱。如下面的程式碼片段所示,一個HostingEnvironment物件承載的執行環境的描述資訊體現在定義這個介面的6個屬性上。ApplicationName和

如何在ASP.NET Core應用實現與第三方IoC/DI框架的整合?

我們知道整個ASP.NET Core建立在以ServiceCollection/ServiceProvider為核心的DI框架上,它甚至提供了擴充套件點使我們可以與第三方DI框架進行整合。對此比較瞭解的讀者朋友應該很清楚,針對第三方DI框架的整合可以通過在定義Startup型別的ConfigureServic

ASP.NET Core應用如何記錄和檢視日誌

日誌記錄不僅對於我們開發的應用,還是對於ASP.NET Core框架功能都是一項非常重要的功能特性。我們知道ASP.NET Core使用的是一個極具擴充套件性的日誌系統,該系統由Logger、LoggerFactory和LoggerProvider這三個核心物件組成。我們可以通過簡單的配置實現對LoggerF

用最簡單的方式在ASP.NET Core應用實現認證、登入和登出

在安全領域,認證和授權是兩個重要的主題。認證是安全體系的第一道屏障,是守護整個應用或者服務的第一道大門。當訪問者請求進入的時候,認證體系通過驗證對方的提供憑證確定其真實身份。認證體系只有在證實了訪問者的真實身份的情況下才會允許其進入。ASP.NET Core提供了多種認證方式,它們的實現都基於相同的認證模型。

ASP.NET Core WebAPI使用JWT Bearer認證和授權

目錄 為什麼是 JWT Bearer 什麼是 JWT JWT 的優缺點 在 WebAPI 中使用 JWT 認證 重新整理 Token 使用授權 簡單授權 基於固定角色的授權 基於策略的授權 自定義策略授權 基於資源的授權 原

在 Azure WebApps 運行64位 Asp.net Core 應用

需求 正常 mmu www. module .config 正在 external doc 作為微軟下一代的開源的跨平臺的開發框架, Asp.net core 正在吸引越來越多的開發者基於其構建現代 web 應用。 目前, Azure App Service 也實現了對 a

ASP.NET Core應用程序部署至生產環境(CentOS7)

for linux home web 虛擬 direct director block bic 閱讀目錄 環境說明 準備你的ASP.NET Core應用程序 安裝CentOS7 安裝.NET Core SDK for CentOS7。 部署ASP.NET

在 Docker 部署 ASP.NET CORE 應用

post netcore 工作 ros core 指定 們的 本地 body 有了 Docker 之後, 部署起來卻這間非常方便,環境不用搭了, 直接創建一個 microsoft/aspnetcore 的容器, 在本地開發好後, 把內容直接部署到容器中。 下面的命令是把本

在IIS除錯ASP.NET Core應用程式

IIS中的除錯提供了更平滑的開發過程,無需考慮您的Web伺服器是否正在執行。 我已經使用ASP.NET核心了一段時間,並且總是錯過了Visual Studio中的直接IIS支援。必須記住啟動專案才能啟動IIS Express,這有點令人討厭。在開發軟體時,我們希望實際的除錯和執行過程儘可能自

ASP.NET Core 專案使用 AutoMapper 進行實體對映

 一、前言   在實際專案開發過程中,我們使用到的各種 ORM 元件都可以很便捷的將我們獲取到的資料繫結到對應的 List<T> 集合中,因為我們最終想要在頁面上展示的資料與資料庫實體類之間可能存在很大的差異,所以這裡更常見的方法是去建立一些對應於頁面資料展示的 `檢視模型`

三分鐘學會在ASP.NET Core MVC 使用Cookie

一.Cookie是什麼?   我的朋友問我cookie是什麼,用來幹什麼的,可是我居然無法清楚明白簡短地向其闡述cookie,這不禁讓我陷入了沉思:為什麼我無法解釋清楚,我對學習的方法產生了懷疑!所以我們在學習一個東西的時候,一定要做到知其然知其所以然。   HTTP協議本身是無狀態的。什麼是無狀態呢,即伺

15.ASP.NET Core 應用程式的靜態檔案中介軟體

在這篇文章中,我將向大家介紹,如何使用中介軟體元件來處理靜態檔案。這篇文章中,我們討論下面幾個問題:在ASP.NET Core中,我們需要把靜態檔案存放在哪裡?在ASP.NET Core中 wwwroot資料夾是啥?怎樣在ASP.NET Core應用程式中,配置靜態檔案中介軟體?UseFileServer中介

將終結點圖新增到你的ASP.NET Core應用程式

在本文中,我將展示如何使用`DfaGraphWriter`服務在ASP.NET Core 3.0應用程式中視覺化你的終結點路由。上面文章我向您演示瞭如何生成一個有向圖([如我上篇文章中所示](https://www.cnblogs.com/yilezhu/p/13301981.html)),可以使用[Grap

ASP.NET Core MVC構建簡單 Web Api

程序 Getting Started在 ASP.NET Core MVC 框架中,ASP.NET 團隊為我們提供了一整套的用於構建一個 Web 中的各種部分所需的套件,那麽有些時候我們只需要做一個簡單的 Web Api 程序怎麽辦呢?在 GitHub 中的 ASP.NET Core MVC 源碼裏面,我

Linux使用Jexus托管Asp.Net Core應用程序

技術 文件目錄 只需要 true 沒有 repr tag 博文 env 第一步 安裝.Net Core環境 安裝 dotnet 環境參見官方網站 https://www.microsoft.com/net/core。 選擇對應的系統版本進行安裝。安裝完成過後 輸入命令查

運行Vue在ASP.NET Core應用程序並部署在IIS上

生產環境 所在 來講 一個 重寫 文章 .net core 設置 分享 前言 從.NET Core 1.0開始我們就將其應用到項目中,但是呢我對ASP.NET Core一些原理也還未開始研究,僅限於會用,不過園子中已有大量文章存在,借著有點空余時間,我們來講講如何利用AS

ASP.NET Core 2.0 Cookie Authentication

pen builder class end collect exce enc ati develop using Microsoft.AspNetCore.Authentication.Cookies; using Microsoft.AspNetCore.Builder

使用Docker部署ASP.NET Core應用程序實踐

4.0 cor run .com cnblogs pda word 本地配置 問題 前言 最近把很火的Docker給看了,於是就磨拳擦掌要去實踐一下。於是就拿之前一個aps.net core的項目(已被停止)去練手。該項目之前在ubuntu14.04上確保可以正常運行,所以