概述
上兩篇(asp.net core 3.x 身份驗證-1涉及到的概念、asp.net core 3.x 身份驗證-2啟動階段的配置)介紹了身份驗證相關概念以及啟動階段的配置,本篇以cookie身份驗證為例來大致說明asp.net core中的身份驗證原理,如果我們的應用只考慮瀏覽器使用,且不考慮前后端分離,cookie是最簡單的身份驗證方式,雖然這樣命名,但我們的用戶標識并非一定要存到cookie里,asp.net core允許我們存盤到任何地方,如:session、自定義基于記憶體的存盤、redis等等,身份驗證與asp.net core Identity結合會更簡單,它提供了用戶管理功能,以及更身份驗證相關的輔助類,如:SignManager,不過暫時不將這東東,
還是以宏觀上的理解和使用為主,主要涉及如下流程:
- 未登錄時請求受保護的資源
- 登錄
- 已登錄時訪問受保護的資源
- 注銷
其中步驟1、3差別很小,總體流程大致如下圖:
先在Startup中做如下配置:
1 public void ConfigureServices(IServiceCollection services) 2 { 3 services.AddAuthentication().AddCookie(); 4 services.AddControllersWithViews(); 5 } 6 7 // This method gets called by the runtime. Use this method to configure the HTTP request pipeline. 8 public void Configure(IApplicationBuilder app, IWebHostEnvironment env) 9 { 10 if (env.IsDevelopment()) 11 { 12 app.UseDeveloperExceptionPage(); 13 } 14 else 15 { 16 app.UseExceptionHandler("/Home/Error"); 17 } 18 app.UseStaticFiles(); 19 20 app.UseRouting(); 21 app.UseAuthentication(); 22 app.UseAuthorization(); 23 24 app.UseEndpoints(endpoints => 25 { 26 endpoints.MapControllerRoute( 27 name: "default", 28 pattern: "{controller=Home}/{action=Index}/{id?}"); 29 }); 30 }View Code
流程1、3、訪問受保護的資源
當我們在Startup.Configre中 app.UseAuthentication(); 將注冊身份驗證中間AuthenticationMiddleware,它負責在請求階段嘗試從請求中獲取用戶標識,若獲取到則賦值給HttpContext.User屬性,否則以匿名用戶身份繼續執行下一個中間件,
AuthenticationMiddleware
流程大致如下:
- 遍歷程式中所有實作IAuthenticationRequestHandler身份驗證處理器,呼叫其HandleRequestAsync方法,此方法若回傳true則終止本次請求
- 通過AuthenticationSchemeProvider獲取默認身份驗證方案
- 呼叫httpContext.AuthenticateAsync(默認方案名)嘗試從請求中獲取當前用戶
- 如果前一步獲取到用戶,則設定到httpContext.User屬性上
- 無論是否成功獲取用戶請求都會進入下一個中間件繼續后續執行
步驟1中允許AuthenticationHandler在特定情況下終止請求,如果我們將來自定義AuthenticationHandler時實作IAuthenticationRequestHandler可以達到這種目的
步驟3是核心,httpContext.AuthenticateAsync是擴展方法,內部從IOC容器中獲取AuthenticationService并呼叫其同名方法
疑惑:AuthenticationMiddleware始侄訓取默認身份驗證方案然后嘗試從請求中獲取用戶標識,這個默認是通過Startup.ConfigreService中 services.AddAuthentication(默認方案名) 來配置的,但一個系統中可以注冊多個身份驗證方案(如:同時支持Cookie和JWTBearerToken方式),所以咋處理呢?我目前能想到的是要么純網站直接用cookie,前后端分離或移動端app默認方案設定為JWTBearerToken;另一種方式再自定義一個AuthenticationMiddleware;但是感覺都很別扭,所以你有好的想法請指教下,不勝感激!
AuthenticationService.AuthenticateAsync
大致執行如下步驟:
- 通過AuthenticationHandlerProvider(注入進來的)獲取指定(這里就是默認的)身份驗證方案名獲取關聯的身份驗證處理器AuthenticationHandler
- 呼叫AuthenticationHandler.AuthenticateAsync()嘗試從請求中獲取用戶
- 回傳前嘗試將用戶標識轉換成另一個用戶標識(且進行快取,由于AuthenticationService是Scope注冊的,所以沒問題)
步驟2針對Cookie身份驗證來說最終體現為CookieAuthenticationHandler.HandleAuthenticateAsync()
步驟3在將用戶標識設定到httpContext.User之前允許我們添加修改用戶標識的某些資料,實作方式是定義類實作IClaimsTransformation并將其(推薦單例)注冊到依賴注入容器,
CookieAuthenticationHandler.HandleAuthenticateAsync
大致流程如下:
- 通過Options.CookieManager獲取cookie
- 若Options.SessionStore不為空則從其獲取票證,否則直接解密cookie得到票證
- 處理票證過期(如Option設定了滑動過期,在過期時回應時重新將票證寫入cookie)
- 回呼Events.ValidatePrincipal允許我們修改或替換用戶標識
上述步驟多次用到了Options,它是CookieAuthenticationOptions型別的,專門針對基于cookie的身份驗證處理器的選項物件,參考:《asp.net core 3.x 身份驗證-2啟動階段的配置》,此選項物件的默認賦值行為在PostConfigureCookieAuthenticationOptions.PostConfigre中定義,我們也可以在啟動配置時進行定制,
比如我們想直接將票證存盤到自定義的存盤中時可以參考下面的配置:
- 自定義一個類實作ITicketStore(參考)
- 配置cookie身份驗證方案時修改選項 services.AddAuthentication().AddCookie(opt=> opt.SessionStore = new MySessionStore());
在CookieAuthenticationHandler的其它多個步驟中都可能使用到此選項物件,使用方式都類似,
在前一步驟AuthenticationService.AuthenticateAsync的步驟3中允許我們的代碼替換/修改用戶標識,在這里的步驟4也允許做類似的事,區別在于前者是針對所有身份驗證方案有效的,如默認身份驗證方案為JwtBeaerToken時也有效,而后者只是針對cookie身份驗證有效,
AuthorizationMiddleware
由于首次請求用戶尚未登錄,所以context.User為空,授權中間件最侄訓執行 context.ChallengeAsync(); 最侄訓執行CookieAuthenticationHandler.HandleChallengeAsync
CookieAuthenticationHandler.HandleChallengeAsync
默認大致流程如下:
- 組織登錄頁地址:Options.LoginPath + QueryString.Create(Options.ReturnUrlParameter, 當前地址);
- 回呼Events.RedirectToLogin,若是ajax請求則回傳401狀態碼,否則跳轉到登錄頁
默認登錄頁地址"/Account/Login",參考PostConfigureCookieAuthenticationOptions.PostConfigre
默認處理流程如下:
1 public Func<RedirectContext<CookieAuthenticationOptions>, Task> OnRedirectToLogin { get; set; } = context => 2 { 3 if (IsAjaxRequest(context.Request)) 4 { 5 context.Response.Headers[HeaderNames.Location] = context.RedirectUri; 6 context.Response.StatusCode = 401; 7 } 8 else 9 { 10 context.Response.Redirect(context.RedirectUri); 11 } 12 return Task.CompletedTask; 13 };
我們也可以通過在應用啟動時通過選項物件來修改,
1 services.AddAuthentication().AddCookie(opt => 2 { 3 opt.LoginPath = "account/mylogin"; 4 opt.Events.OnRedirectToLogin = context => 5 { 6 context.Response.Redirect(context.RedirectUri); 7 return Task.CompletedTask; 8 }; 9 });
流程2、登錄
前端提交用戶名密碼,Action去資料庫對比,若成功則以用戶id(或一些非常常用的和與授權相關的屬性)作為用戶標識,然后呼叫HttpContext.SignInAsync(ClaimsPrincipal),所以最侄訓執行CookieAuthenticationHandler.HandleSignInAsync
CookieAuthenticationHandler.HandleSignInAsync
大致步驟如下:
- 準備一個CookieSigningInContext(=當前背景關系+當前身份驗證方案+當前身份驗證方案關聯的選項物件+需要登錄用戶的標識+cookie選項+額外資料)
- 處理過期時間等屬性
- 回呼Events.SigningIn,允許我們在寫入cookie之前做調整
- 準備票證(=用戶 + 身份驗證相關屬性 + 身份驗證方案名 )
- 若此身份驗證處理器對應的選項配置了Options.SessionStore則使用此存盤,否則加密票證寫入cookie
- 回呼Events.SignedIn
- 最后回呼Events.RedirectToReturnUrl嘗試調整會最初的訪問頁面
流程4、注銷
在Action中呼叫Context.SingOutAsync可以實作注銷,在為傳入方案名的情況下使用默認身份驗證方案進行注銷,假設默認是cookie身份驗證,則CookieAuthenticationHandler.HandleSignOutAsync將被執行,大致流程如下:
若選項物件配置了Options.SessionStore則從其清空用戶標識
回呼Events.SigningOut
清除cookie(可能是含sessionKey或包含用戶標識的cookie)
通過回呼Events.RedirectToReturnUrl跳轉到Options.ReturnUrlParameter頁面
總結
本篇只是從大方向說了下基于cookie的身份驗證原理,對于我們開發者來說只要記住如下幾個點就行了,將來有特殊需求時再去看原始碼,
- 應用啟動時Startup中通過AddAuthencation(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie(opt=>{ 配置各種選項/不配置直接使用默認值 });Configure方法中app.UseRouting();后app.UseAuthentication();插入身份驗證中間件
- opt是CookieAuthenticationOptions型別,我們可以通過它來參與到身份驗證的程序中去,記得它有個回呼函式集合Events屬性,這個選項物件的默認值定義在PostConfigureCookieAuthenticationOptions.PostConfigre、CookieAuthenticationDefaults,Events屬性的型別和默認值參考CookieAuthenticationEvents
- 通常我們呼叫身份驗證方法是通過HttpContext來呼叫,它會從IOC容器拿到AuthenticationService呼叫其同名方法,最侄訓找到合適的AuthenticationHandler并呼叫其同名方法
暫時就想到這么多,以后想到再補充吧,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/63600.html
標籤:其他