实战解读ASP.NET Core身份认证
身份验证是确定用户身份的过程。授权是确定用户是否有权访问资源的过程。
1. 万变不离其宗
显而易见,一个常规的身份认证用例包括两部分: ① 对用户进行身份验证 ② 在未经身份验证的用户试图访问受限资源时作出反应
已注册的身份验证处理程序及其配置选项被称为“方案”,方案可用作一种机制,供用户参考相关处理程序的身份验证、挑战和禁止行为。
我们口头上常说的: 基于cookie认证方案,若认证成功,go on,若认证失败则跳转回登录页面; 基于基本身份认证(BA)方案,若认证成功,go on,若认证失败则给浏览器返回
WWW-Authenticate
标头, 浏览器会再次弹出认证窗口。
2. ASP.NET Core认证原理
在 ASP.NET Core 中,身份验证由IAuthenticationService
负责,身份验证服务会调用已注册的身份验证处理程序来完成与身份验证相关的操作, 整个验证过程由认证中间件
来串联。
一图以蔽之:
其中有几个关键步骤
- 添加认证方案
由配置项
AuthenticationSchemeOption
、认证处理程序组成。 基于Cookie的认证方案可在Options项中可指定登录地址, 基于基本身份的认证方案可在Options项中指定用户名/密码; - 认证处理程序 继承
AuthenticationHandler类
或IAuthenticationHandler接口
-
核心认证函数: 可落地基于声明的访问控制,生成绑定了ClaimsPrincipal、Scheme的
AuthenticationTicket
; 无论认证成功/失败,函数返回AuthenticateResut对象
。 - 挑战(对未认证的用户做出的反应): 例如返回登录页面
- 禁止(对已认证,但对特定资源无权访问做出的反应) :例如返回提示字符串
以上均为服务注册过程
- 收到请求,认证中间件使用
IAuthenticationService
对HttpContext按照要求的scheme进行认证, 实际内部会调用第2步编写的认证处理程序。
以上认证原理,有一个近身实战:ASP.NET Core 实现基本身份验证。 源代码如下:https://www.cnblogs.com/JulianHuang/p/10345365.html
3. ASP.NET Core获取当前用户
基于声明的访问控制, 我们会在HttpContext.User属性存储身份信息。
var claims = new[] {
new Claim(ClaimTypes.NameIdentifier,username),
new Claim(ClaimTypes.Name,username),
};
var identity = new ClaimsIdentity(claims, Scheme.Name);
var principal = new ClaimsPrincipal(identity);
Context.User = principal;
Web应用程序中获取当前登录用户, 有两种代码场合:
3.1 在控制器中获取当前登录用户
控制器是处理请求的 一等公民,天生自带HttpContext。 直接通过ControllerBase基类中包含的HttpContext属性,获取User对象。
实际上Razor Page、Razor View、Middleware均包含HttpContext属性/参数, 可直接使用。
3.2 在服务中获取当前登录用户
这个时候,服务是作为请求处理中的一个环节,并没有直接可用的HttpContext。 ASP.NET Core 提供了IHttpContextAccessor能够注入此次请求中的HttpContext对象(依赖注入框架的作用)。
// 下面的用户实体类,需要获取当前登录用户,借助IHttpContextAccessor注入httpContext
public class UserEntityService : IUserEntityService
{
private IHttpContextAccessor _accessor;
private readonly IMongoCollection<UserProfile> _users;
public UserEntityService(IHttpContextAccessor accessor, IDefaultMongoDatabaseProvider databaseProvider)
{
_accessor = accessor;
_users = databaseProvider.GetCollection<UserProfile>(CollectionNames.UserProfiles);
}
public Task<UserProfile> GetCurrentUserAsync()
{
var rawUser = this._accessor.HttpContext.User;
if (rawUser == null)
{
return null;
}
var filter = Builders<UserProfile>.Filter.Eq("UserId", rawUser.UserId);
return _users.Find(filter).FirstOrDefaultAsync();
}
}
+ abp vnext
我们不需要区分以上代码场合,在Controller或者Application 服务中使用ICurrentUser
接口拿到登录用户。
旁白
个人认为,ASP.NET Core身份认证的源代码, 基于现实认知提炼而来,让我们惊叹于框架代码的的简洁精炼、层次分明。
基于声明的访问控制已成标准,ASP.NET Core/abp vnext 均提供了完善的支持。
- android性能优化1
- 百度地图之收索视野内的建筑物
- Line Counter - Writing a Visual Studio 2005 Add-In
- 百度地图之标注聚会
- How to Add an API to your Web Service
- 「微信小程序」剖析(四):原生的实时DOM转Virtual DOM
- 让你的「微信小程序」运行在Chrome浏览器上,让我们使用WebStorm
- android上拉下拉加载更多数据
- 「微信小程序」剖析(二):框架原理 | 在桌面浏览器上运行的尝试
- Working with Windows Workflow Foundation in ASP.NET
- 微信小程序剖析【下】:运行机制
- android多屏幕分辨率适配
- 一步一步创建ASP.NET MVC5程序[Repository+Autofac+Automapper+SqlSugar](二)
- 怎么解决web service circular reference 问题
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 手把手教你微信好友头像形成指定的文字
- Logstash: 应用实践 - 装载 CSV 文档到 Elasticsearch
- LeetCode 剑指 Offer 28. 对称的二叉树
- Mysql拼接查询结果
- 手把手教你如何重建二叉树(超精彩配图)
- 一文搞定插入排序算法
- LeetCode 107. 二叉树的层次遍历 II
- LeetCode 103. 二叉树的锯齿形层次遍历
- 我是怎么一步一步调试出来二叉树的遍历(超精彩配图),二叉树遍历再也不用愁了
- 重中之重的二分查找
- LeetCode 剑指Offer 面试题27. 二叉树的镜像
- 一文搞定选择排序算法
- 一文搞定冒泡排序算法
- 剑指Offer LeetCode 面试题25. 合并两个排序的链表
- LeetCode 20200601 打卡 1431. 拥有最多糖果的孩子