怎么在ASP.NETCore在使用Cookie驗(yàn)證身份-創(chuàng)新互聯(lián)

本篇文章為大家展示了怎么在ASP.NET Core在使用Cookie驗(yàn)證身份,內(nèi)容簡(jiǎn)明扼要并且容易理解,絕對(duì)能使你眼前一亮,通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

創(chuàng)新互聯(lián)憑借專業(yè)的設(shè)計(jì)團(tuán)隊(duì)扎實(shí)的技術(shù)支持、優(yōu)質(zhì)高效的服務(wù)意識(shí)和豐厚的資源優(yōu)勢(shì),提供專業(yè)的網(wǎng)站策劃、網(wǎng)站設(shè)計(jì)制作、網(wǎng)站建設(shè)、網(wǎng)站優(yōu)化、軟件開發(fā)、網(wǎng)站改版等服務(wù),在成都10余年的網(wǎng)站建設(shè)設(shè)計(jì)經(jīng)驗(yàn),為成都上1000家中小型企業(yè)策劃設(shè)計(jì)了網(wǎng)站。

ASP.NET Core 1.x


按下列步驟操作:

在您的項(xiàng)目中安裝Microsoft.AspNetCore.Authentication.CookiesNuGet包。此包包含Cookie中間件。

在Startup.cs文件中的Configure方法中添加下面的行,在app.UseMvc()語(yǔ)句之前:

app.UseCookieAuthentication(new CookieAuthenticationOptions()
    {
      AccessDeniedPath = "/Account/Forbidden/",
      AuthenticationScheme = "MyCookieAuthenticationScheme",
      AutomaticAuthenticate = true,
      AutomaticChallenge = true,
      LoginPath = "/Account/Unauthorized/"
    });

ASP.NET Core 2.x

按下列步驟操作:

如果不使用Microsoft.AspNetCore.All 元包,則在您的項(xiàng)目中安裝2.0版的Microsoft.AspNetCore.Authentication.CookiesNuGet包。

在Startup.cs文件中的Configure方法中調(diào)用UseAuthentication方法:

app.UseAuthentication();

在Startup.cs文件中的ConfigureServices方法中調(diào)用AddAuthentication和AddCookie方法:


services.AddAuthentication("MyCookieAuthenticationScheme")
        .AddCookie("MyCookieAuthenticationScheme", options => {
          options.AccessDeniedPath = "/Account/Forbidden/";
          options.LoginPath = "/Account/Unauthorized/";
        });

上面的代碼片段配置了以下部分或全部選項(xiàng):

  • AccessDeniedPath - 當(dāng)用戶嘗試訪問(wèn)資源但沒(méi)有通過(guò)任何授權(quán)策略時(shí),這是請(qǐng)求會(huì)重定向的相對(duì)路徑資源。

  • AuthenticationScheme - 這是一個(gè)已知的特定Cookie認(rèn)證方案的值。當(dāng)有多個(gè)Cookie驗(yàn)證實(shí)例,并且您想限制對(duì)一個(gè)實(shí)例的授權(quán)時(shí),這就非常有用。

  • AutomaticAuthenticate - 此標(biāo)識(shí)僅適用于ASP.NET Core 1.x。它表示Cookie身份驗(yàn)證應(yīng)在每個(gè)請(qǐng)求上運(yùn)行,并嘗試驗(yàn)證和重建序列化主體。

  • AutomaticChallenge - 此標(biāo)識(shí)僅適用于ASP.NET Core 1.x。這表示當(dāng)授權(quán)失敗時(shí),1.x Cookie認(rèn)證應(yīng)將瀏覽器重定向到LoginPath或AccessDeniedPath。

  • LoginPath - 當(dāng)用戶嘗試訪問(wèn)資源但尚未認(rèn)證時(shí),這是請(qǐng)求重定向的相對(duì)路徑。

其它選項(xiàng)包括為Cookie認(rèn)證創(chuàng)建的設(shè)置選項(xiàng),身份驗(yàn)證的Cookie的名稱,Cookie的域和Cookie各種安全屬性。默認(rèn)情況下,Cookie身份驗(yàn)證為其創(chuàng)建的任何Cookie使用適當(dāng)?shù)陌踩x項(xiàng),例如:

  • 設(shè)置HttpOnly標(biāo)志以防止客戶端JavaScript中訪問(wèn)Cookie

  • 如果請(qǐng)求是通過(guò)HTTPS訪問(wèn),則將Cookie限制為HTTPS

創(chuàng)建身份認(rèn)證Cookie

要?jiǎng)?chuàng)建一個(gè)保存用戶信息的cookie,您必須構(gòu)建一個(gè)ClaimsPrincipal 保存您希望序列化到Cookie中的信息。

ASP.NET Core 1.x


await HttpContext.Authentication.SignInAsync("MyCookieAuthenticationScheme", principal);

ASP.NET Core 2.x


await HttpContext.SignInAsync("MyCookieAuthenticationScheme", principal);

這將創(chuàng)建一個(gè)加密的Cookie并將其添加到當(dāng)前響應(yīng)中。在調(diào)用SignInAsync時(shí),必須在配置中指定的AuthenticationScheme。

順便提一下,使用的加密方式是ASP.NET Core的Data Protection系統(tǒng)。如果您在多臺(tái)機(jī)器上進(jìn)行托管、負(fù)載平衡或使用Web集群,則需要配置Data Protection才能使用相同的密鑰和應(yīng)用程序標(biāo)識(shí)符。

Signing out(登出)

要退出當(dāng)前用戶并刪除其Cookie,請(qǐng)?jiān)诳刂破髦姓{(diào)用以下方法:

ASP.NET Core 1.x


await HttpContext.Authentication.SignOutAsync("MyCookieAuthenticationScheme");

ASP.NET Core 2.x


await HttpContext.SignOutAsync("MyCookieAuthenticationScheme");

服務(wù)端變化反饋

警告: 一旦創(chuàng)建了認(rèn)證的Cookie,它將成為的身份來(lái)源。即使您在服務(wù)系統(tǒng)中禁用用戶,Cookie身份驗(yàn)證也無(wú)法了解此信息,只要Cookie有效,用戶仍可登錄。

Cookie認(rèn)證在其選項(xiàng)中提供了一系列事件。ValidateAsync()事件可用于攔截和重寫Cookie身份驗(yàn)證。

可以考慮在后端用戶數(shù)據(jù)庫(kù)中增加LastChanged列。為了在數(shù)據(jù)庫(kù)更改時(shí)使Cookie無(wú)效,您應(yīng)該首先在創(chuàng)建Cookie時(shí)添加一個(gè)LastChanged包含當(dāng)前值的聲明。數(shù)據(jù)庫(kù)更改時(shí),更新LastChanged例的值。

要重寫ValidateAsync()事件的實(shí)現(xiàn),您必須編寫一個(gè)具有以下簽名的方法:

Task ValidateAsync(CookieValidatePrincipalContext context);

ASP.NET Core Identity 在SecurityStampValidator實(shí)現(xiàn)了這一邏輯,鏈接地址。示例如下所示:

ASP.NET Core 1.x

  public static class LastChangedValidator
  {
    public static async Task ValidateAsync(CookieValidatePrincipalContext context)
    {
      // Pull database from registered DI services.
      var userRepository = context.HttpContext.RequestServices.GetRequiredService<IUserRepository>();
      var userPrincipal = context.Principal;
  
      // Look for the last changed claim.
      string lastChanged;
      lastChanged = (from c in userPrincipal.Claims
              where c.Type == "LastUpdated"
              select c.Value).FirstOrDefault();
  
      if (string.IsNullOrEmpty(lastChanged) ||
        !userRepository.ValidateLastChanged(userPrincipal, lastChanged))
      {
        context.RejectPrincipal();
        await context.HttpContext.Authentication.SignOutAsync("MyCookieAuthenticationScheme");
      }
    }
  }

然后,在Startup.cs文件中的Configure方法中將Cokie認(rèn)證配置進(jìn)行重寫:

  app.UseCookieAuthentication(new CookieAuthenticationOptions
  {
    Events = new CookieAuthenticationEvents
    {
      OnValidatePrincipal = LastChangedValidator.ValidateAsync
    }
  });

ASP.NET Core 2.x

  public static class LastChangedValidator
  {
    public static async Task ValidateAsync(CookieValidatePrincipalContext context)
    {
      // Pull database from registered DI services.
      var userRepository = context.HttpContext.RequestServices.GetRequiredService<IUserRepository>();
      var userPrincipal = context.Principal;
  
      // Look for the last changed claim.
      string lastChanged;
      lastChanged = (from c in userPrincipal.Claims
              where c.Type == "LastUpdated"
              select c.Value).FirstOrDefault();
  
      if (string.IsNullOrEmpty(lastChanged) ||
        !userRepository.ValidateLastChanged(userPrincipal, lastChanged))
      {
        context.RejectPrincipal();
        await context.HttpContext.SignOutAsync("MyCookieAuthenticationScheme");
      }
    }
  }

然后,將在Startup.cs的ConfigureServices方法中將Cookie服務(wù)注冊(cè)進(jìn)行配置:

  services.AddAuthentication("MyCookieAuthenticationScheme")
      .AddCookie(options =>
      {
        options.Events = new CookieAuthenticationEvents
        {
          OnValidatePrincipal = LastChangedValidator.ValidateAsync
        };
      });

如果要非破壞性地更新用戶主體,可以調(diào)用context.ReplacePrincipal(),并將context.ShouldRenew屬性設(shè)置為true。

Cookie設(shè)置選項(xiàng)

CookieAuthenticationOptions類提供了各種配置選項(xiàng),在創(chuàng)建時(shí)調(diào)整Cookie的配置。

ASP.NET Core 1.x

  • ClaimsIssuer是由中間件創(chuàng)建的任何聲明時(shí)使用的Issuer屬性。

  • CookieDomain是提供Cookie的域名。默認(rèn)情況下,這是發(fā)送請(qǐng)求的主機(jī)名。瀏覽器僅將Cookie提供給匹配的主機(jī)名。您可能希望對(duì)此進(jìn)行調(diào)整,以便您的域中的任何主機(jī)都可以使用Cookie。例如,將Cookie域名設(shè)置為.contoso.com,可以使用Cookie的域名有contoso.com、www.contoso.com、staging.www.contoso.com等。

  • CookieHttpOnly是一個(gè)標(biāo)識(shí),指定Cookie是否只能由服務(wù)器訪問(wèn)。默認(rèn)為true。如果您的應(yīng)用程序具有Cross-Site Scripting(XSS)的問(wèn)題,更改此值可能會(huì)導(dǎo)致Cookie被盜用。

  • CookiePath可用于隔離在相同主機(jī)名上運(yùn)行的應(yīng)用程序。如果你有一個(gè)應(yīng)用程序在/app1中運(yùn)行,并希望限制發(fā)送的Cookie只發(fā)送到該應(yīng)用程序,那么您應(yīng)該將CookiePath屬性設(shè)置為/app1。通過(guò)這樣做,Cookie只適用于對(duì)/app1或其下任何內(nèi)容的請(qǐng)求。

  • CookieSecure是一個(gè)標(biāo)識(shí),表示創(chuàng)建的Cookie是否應(yīng)該被限制為HTTPS,HTTP或HTTPS,或與請(qǐng)求相同的協(xié)議。默認(rèn)為SameAsRequest。

  • ExpireTimeSpan是TimeSpan類型,在此時(shí)間段之后Cookie將過(guò)期。將當(dāng)前日期加上此時(shí)間段為創(chuàng)建Cookie的到期日期。

  • SlidingExpiration是一個(gè)標(biāo)識(shí),指示當(dāng)超過(guò)一半的ExpireTimeSpan間隔時(shí),Cookie到期日期是否復(fù)位。新的到期日是當(dāng)前時(shí)間加上ExpireTimespan。調(diào)用SignInAsync時(shí),可以使用AuthenticationProperties類設(shè)置絕對(duì)到期時(shí)間。絕對(duì)到期時(shí)間可以通過(guò)限制認(rèn)證Cookie有效的時(shí)間來(lái)提高應(yīng)用程序的安全性。

在Startup.cs文件中的Configure方法中使用CookieAuthenticationOptions的例子如下:

  app.UseCookieAuthentication(new CookieAuthenticationOptions
  {
    CookieName = "AuthCookie",
    CookieDomain = "contoso.com",
    CookiePath = "/",
    CookieHttpOnly = true,
    CookieSecure = CookieSecurePolicy.Always
  });

ASP.NET Core 2.x

ASP.NET Core 2.x 統(tǒng)一了用于配置Cookie的API。1.x API已被標(biāo)記為過(guò)時(shí),并且在CookieAuthenticationOptions類中引入了一種類型為CookieBuilder新的Cookie屬性。建議您遷移到2.x API。

  • ClaimsIssuer是由Cookie認(rèn)證創(chuàng)建的任何聲明時(shí)使用的Issuer屬性。

  • CookieBuilder.Domain是提供Cookie的域名。默認(rèn)情況下,這是發(fā)送請(qǐng)求的主機(jī)名。瀏覽器僅將Cookie提供給匹配的主機(jī)名。您可能希望對(duì)此進(jìn)行調(diào)整,以便您的域中的任何主機(jī)都可以使用Cookie。例如,將Cookie域名設(shè)置為.contoso.com,可以使用Cookie的域名有contoso.com、www.contoso.com、staging.www.contoso.com等

  • CookieBuilder.HttpOnly是一個(gè)標(biāo)識(shí),指定Cookie是否只能由服務(wù)器訪問(wèn)。默認(rèn)為true。如果您的應(yīng)用程序具有Cross-Site Scripting(XSS)的問(wèn)題,更改此值可能會(huì)導(dǎo)致Cookie被盜用。

  • CookieBuilder.Path可用于隔離在相同主機(jī)名上運(yùn)行的應(yīng)用程序。如果你有一個(gè)應(yīng)用程序在/app1中運(yùn)行,并希望限制發(fā)送的Cookie只發(fā)送到該應(yīng)用程序,那么您應(yīng)該將CookiePath屬性設(shè)置為/app1。通過(guò)這樣做,Cookie只適用于對(duì)/app1或其下任何內(nèi)容的請(qǐng)求。

  • CookieBuilder.SameSite表示瀏覽器是否允許Cookie被附加到同一站點(diǎn)或跨站點(diǎn)的請(qǐng)求。默認(rèn)為SameSiteMode.Lax。

  • CookieBuilder.SecurePolicy是一個(gè)標(biāo)識(shí),表示創(chuàng)建的Cookie是否應(yīng)該被限制為HTTPS,HTTP或HTTPS,或與請(qǐng)求相同的協(xié)議。默認(rèn)為SameAsRequest。

  • ExpireTimeSpan是TimeSpan類型,在此時(shí)間段之后Cookie將過(guò)期。將當(dāng)前日期加上此時(shí)間段為創(chuàng)建Cookie的到期日期。

  • SlidingExpiration是一個(gè)標(biāo)識(shí),指示當(dāng)超過(guò)一半的ExpireTimeSpan間隔時(shí),Cookie到期日期是否復(fù)位。新的到期日是當(dāng)前時(shí)間加上ExpireTimespan。調(diào)用SignInAsync時(shí),可以使用AuthenticationProperties類設(shè)置絕對(duì)到期時(shí)間。絕對(duì)到期時(shí)間可以通過(guò)限制認(rèn)證Cookie有效的時(shí)間來(lái)提高應(yīng)用程序的安全性。

在Startup.cs的ConfigureServices方法中使用CookieAuthenticationOptions的例子如下:

  services.AddAuthentication()
    .AddCookie(options =>
    {
      options.Cookie.Name = "AuthCookie";
      options.Cookie.Domain = "contoso.com";
      options.Cookie.Path = "/";
      options.Cookie.HttpOnly = true;
      options.Cookie.SameSite = SameSiteMode.Lax;
      options.Cookie.SecurePolicy = CookieSecurePolicy.Always;
    });

持久Cookie和絕對(duì)到期時(shí)間

您可能希望Cookie在瀏覽器會(huì)話中持續(xù)存在,并希望設(shè)置身份和Cookie傳輸?shù)慕^對(duì)過(guò)期時(shí)間。這種持久性應(yīng)該只能是用戶顯示同意,在登錄時(shí)的“記住我”復(fù)選框或類似的機(jī)制啟用。您可以通過(guò)在創(chuàng)建身份認(rèn)證Cookie時(shí)調(diào)用的SignInAsync方法中使用AuthenticationProperties參數(shù)來(lái)執(zhí)行這些操作。例如:

ASP.NET Core 1.x

  await HttpContext.Authentication.SignInAsync(
    "MyCookieAuthenticationScheme",
    principal,
    new AuthenticationProperties
    {
      IsPersistent = true
    });

上述代碼片段中使用的AuthenticationProperties類,位于Microsoft.AspNetCore.Http.Authentication命名空間中。

ASP.NET Core 2.x

  await HttpContext.SignInAsync(
    "MyCookieAuthenticationScheme",
    principal,
    new AuthenticationProperties
    {
      IsPersistent = true
    });

上述代碼片段中使用的AuthenticationProperties類,位于Microsoft.AspNetCore.Authentication命名空間中。

上面的代碼段創(chuàng)建一個(gè)身份和相應(yīng)的Cookie,直到瀏覽器關(guān)閉。以前通過(guò)Cookie設(shè)置選項(xiàng)配置的任何滑動(dòng)過(guò)期設(shè)置仍然有效。如果Cookie在瀏覽器關(guān)閉時(shí)過(guò)期,瀏覽器會(huì)在重新啟動(dòng)后清除它。如果Cookie在瀏覽器關(guān)閉時(shí)過(guò)期,瀏覽器會(huì)在重新啟動(dòng)后清除它。

ASP.NET Core 1.x


  await HttpContext.Authentication.SignInAsync(
    "MyCookieAuthenticationScheme",
    principal,
    new AuthenticationProperties
    {
      ExpiresUtc = DateTime.UtcNow.AddMinutes(20)
    });

ASP.NET Core 2.x


  await HttpContext.SignInAsync(
    "MyCookieAuthenticationScheme",
    principal,
    new AuthenticationProperties
    {
      ExpiresUtc = DateTime.UtcNow.AddMinutes(20)
    });

上述內(nèi)容就是怎么在ASP.NET Core在使用Cookie驗(yàn)證身份,你們學(xué)到知識(shí)或技能了嗎?如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

分享文章:怎么在ASP.NETCore在使用Cookie驗(yàn)證身份-創(chuàng)新互聯(lián)
當(dāng)前地址:http://www.muchs.cn/article24/dpcgce.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站改版網(wǎng)站設(shè)計(jì)公司、關(guān)鍵詞優(yōu)化、手機(jī)網(wǎng)站建設(shè)靜態(tài)網(wǎng)站、建站公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

營(yíng)銷型網(wǎng)站建設(shè)