分享给需要帮助的人:记一次 IdentityAPI 中注册的源码解读:设置用户账户为未验证状态,以及除此之外更安全的做法: 延迟用户创建。包含了对优缺点的说明,以及适用场景。

在ASP.NET 8 Identity 中注册API的源码如下:

routeGroup.MapPost("/register", async Task<Results<Ok, ValidationProblem>>

    ([FromBody] RegisterRequest registration, HttpContext context, [FromServices] IServiceProvider sp) =>

{

    var userManager = sp.GetRequiredService<UserManager<TUser>>();

    if (!userManager.SupportsUserEmail)

    {

        throw new NotSupportedException($"{nameof(MapIdentityApi)} requires a user store with email support.");

    }

    var userStore = sp.GetRequiredService<IUserStore<TUser>>();

    var emailStore = (IUserEmailStore<TUser>)userStore;

    var email = registration.Email;

    if (string.IsNullOrEmpty(email) || !_emailAddressAttribute.IsValid(email))

    {

        return CreateValidationProblem(IdentityResult.Failed(userManager.ErrorDescriber.InvalidEmail(email)));

    }

    var user = new TUser { EmailConfirmed = false }; // 标记为未验证

    await userStore.SetUserNameAsync(user, email, CancellationToken.None);

    await emailStore.SetEmailAsync(user, email, CancellationToken.None);

    var result = await userManager.CreateAsync(user, registration.Password);

    if (!result.Succeeded)

    {

        return CreateValidationProblem(result);

    }

    await SendConfirmationEmailAsync(user, userManager, context, email);

    return TypedResults.Ok();

});

routeGroup.MapGet("/confirm-email", async Task<IResult>

    ([FromQuery] string userId, [FromQuery] string token, [FromServices] UserManager<TUser> userManager) =>

{

    var user = await userManager.FindByIdAsync(userId);

    if (user == null)

    {

        return TypedResults.BadRequest("Invalid user.");

    }

    var result = await userManager.ConfirmEmailAsync(user, token);

    if (!result.Succeeded)

    {

        return TypedResults.BadRequest("Email confirmation failed.");

    }

    user.EmailConfirmed = true; // 更新为已验证

    await userManager.UpdateAsync(user);

    return TypedResults.Ok("Email confirmed successfully.");

});

会发现它在注册的时候使用邮箱作为用户名,配置了邮箱和密码。但是它在发送邮箱验证码之前,就已经通过CreateAsync创建好了账号。这种方式叫做设置用户账户为未验证状态,将 EmailConfirmed 设置为 false,邮箱验证确认后设置为true。

这种方式的缺点很明显:

  1. 数据库冗余:未验证的用户仍然会被创建并保存在数据库中,可能会增加垃圾数据。
  2. 风险较高:未验证用户在短时间内可能会尝试恶意行为,需要额外的监控和限制措施。

优点如下:

  1. 实现简单:直接在用户创建时标记用户为未验证,逻辑简单易于实现。
  2. 用户体验:用户可以立即注册并部分使用系统功能,验证邮箱可以稍后进行。
  3. 安全可控:通过限制未验证用户的操作,可以在确保安全性的同时提供基本的用户体验。

更安全的方式是延迟用户创建,代码如下:

routeGroup.MapPost("/register", async Task<IResult>

    ([FromBody] RegisterRequest registration, HttpContext context, [FromServices] IServiceProvider sp) =>

{

    var userManager = sp.GetRequiredService<UserManager<TUser>>();

    if (!userManager.SupportsUserEmail)

    {

        throw new NotSupportedException($"{nameof(MapIdentityApi)} requires a user store with email support.");

    }

    var userStore = sp.GetRequiredService<IUserStore<TUser>>();

    var emailStore = (IUserEmailStore<TUser>)userStore;

    var email = registration.Email;

    if (string.IsNullOrEmpty(email) || !_emailAddressAttribute.IsValid(email))

    {

        return CreateValidationProblem(IdentityResult.Failed(userManager.ErrorDescriber.InvalidEmail(email)));

    }

    // 生成验证令牌并发送确认邮件

    var verificationToken = GenerateVerificationToken();

    await SendVerificationEmailAsync(email, verificationToken, context);

    // 临时保存注册信息

    SaveTemporaryRegistrationInfo(registration, verificationToken);

    return TypedResults.Ok("Please confirm your email.");

});

routeGroup.MapGet("/confirm-email", async Task<IResult>

    ([FromQuery] string token, [FromServices] IServiceProvider sp) =>

{

    var registration = GetTemporaryRegistrationInfoByToken(token);

    if (registration == null)

    {

        return TypedResults.BadRequest("Invalid or expired token.");

    }

    var userManager = sp.GetRequiredService<UserManager<TUser>>();

    var user = new TUser();

    await userStore.SetUserNameAsync(user, registration.Email, CancellationToken.None);

    await emailStore.SetEmailAsync(user, registration.Email, CancellationToken.None);

    var result = await userManager.CreateAsync(user, registration.Password);

    if (!result.Succeeded)

    {

        return CreateValidationProblem(result);

    }

    return TypedResults.Ok("Email confirmed and user created.");

});

会发现它与第一个例子是相反的,它是用户注册后把数据保存在了临时的内存中,再向邮箱发送验证码。通过配置邮箱的时候,用验证码得到用户数据,并以此创建新的账号。

此做法的缺点也很明显:

  1. 实现复杂:需要额外的逻辑来保存临时注册信息并处理验证令牌。
  2. 用户体验:用户在注册后需要先验证邮箱才能完成注册流程,可能会导致部分用户流失。

优点如下:

  1. 避免垃圾用户:只有当用户验证了邮箱后,才会正式创建用户账户,减少垃圾用户数量。
  2. 安全性高:在用户点击确认链接前,账户信息不会进入数据库,降低被滥用的风险。
  3. 资源节省:避免创建大量未验证的用户,节省数据库存储和处理资源。

它们的适用场景如下:

  1. 延迟用户创建:适用于希望最大限度减少垃圾用户并确保用户邮箱有效性的场景,如高安全性要求的系统。
  2. 设置用户账户为未验证状态:适用于希望提供更流畅的用户体验,允许用户在验证邮箱前进行部分操作的场景,如社交平台或内容网站。

.NET8 Identity Register的更多相关文章

  1. iOS-开发者相关的几种证书

    目录 引言 写在前面 一App IDbundle identifier 二设备Device 三开发证书Certificates 证书的概念 数字证书的概念 iOS开发证书 iOS开发证书的根证书 申请 ...

  2. [转载]iOS Provisioning Profile(Certificate)与Code Signing详解

    原文:http://blog.csdn.net/phunxm/article/details/42685597 引言 关于开发证书配置(Certificates & Identifiers & ...

  3. iOS Provisioning Profile(Certificate)与Code Signing详解

    引言 关于开发证书配置(Certificates & Identifiers & Provisioning Profiles),相信做 iOS 开发的同学没少被折腾.对于一个 iOS ...

  4. 【上传AppStore】iOS项目上传到AppStore步骤流程(第三章) - 基本信息总汇

    一.App ID(bundle identifier) App ID即Product ID,用于标识一个或者一组App. App ID应该和Xcode中的Bundle Identifier是一致(Ex ...

  5. 【转】iOS Provisioning Profile(Certificate)与Code Signing详解 -- 待看

    原文网址:http://blog.sina.com.cn/s/blog_82c8198f0102vy4j.html 引言 关于开发证书配置(Certificates & Identifiers ...

  6. 【转】 iOS Provisioning Profile(Certificate)与Code Signing详解

    原文:http://blog.csdn.net/phunxm/article/details/42685597 引言 关于开发证书配置(Certificates & Identifiers & ...

  7. iOS 证书那些事

    关于开发证书配置(Certificates & Identifiers & Provisioning Profiles),相信做iOS开发的同学没少被折腾.对于一个iOS开发小白.半吊 ...

  8. 网络协议 终章 - GTP 协议:复杂的移动网络

        前面都是讲电脑上网的情景,今天我们就来认识下使用最多的移动网络上网场景. 移动网络的发展历程     你一定知道手机上网有 2G.3G.4G 的说法,究竟这都是什么意思呢?有一个通俗的说法就是 ...

  9. Hyperledger Fabric CA User’s Guide——开始(三)

    Fabric CA User’s Guide——开始 先决条件 安装Go 1.9+ 设置正确的GOPATH环境变量 安装了libtool和libtdhl-dev包 下面是在Ubuntu上安装libto ...

  10. iOS 证书详解

    引言 关于开发证书配置(Certificates & Identifiers & Provisioning Profiles),相信做iOS开发的同学没少被折腾.对于一个iOS开发小白 ...

随机推荐

  1. 一种提升深度多视角行人检测的泛化性能的方法 Bringing Generalization to Deep Multi-View Pedestrian Detection

    一种提升深度多视角行人检测的泛化性能的方法 Bringing Generalization to Deep Multi-View Pedestrian Detection 论文url: https:/ ...

  2. 接口API用例自动转locust测试用例

    做接口测试是必要的,写完接口测试用例,再写locust压测脚本,其实差异不大: 写个简单的py,把接口测试脚本转为locust压测脚本,本例只是简单的示范: 原接口校验脚本: 1 # -*- codi ...

  3. JS - JavaScript 主要知识点(基础夯实)

    纲要 基本类型和引用类型 类型判断 强制类型转换 作用域 执行上下文 理解函数的执行过程 this 指向 闭包 原型和原型链 js 的继承 event loop 基本类型和引用类型 js中数据类型分为 ...

  4. 跨域是什么?Vue项目中你是如何解决跨域的呢?

    一.跨域是什么 跨域本质是浏览器基于同源策略的一种安全手段 同源策略(Sameoriginpolicy),是一种约定,它是浏览器最核心也最基本的安全功能 所谓同源(即指在同一个域)具有以下三个相同点 ...

  5. 力扣626(MySQL)-换座位(中等)

    题目: 表: Seat 编写SQL查询来交换每两个连续的学生的座位号.如果学生的数量是奇数,则最后一个学生的id不交换. 按 id 升序 返回结果表. 查询结果格式如下所示. 示例1: 解释: 请注意 ...

  6. C++ 访问说明符详解:封装数据,控制访问,提升安全性

    C++ 访问说明符 访问说明符是 C++ 中控制类成员(属性和方法)可访问性的关键字.它们用于封装类数据并保护其免受意外修改或滥用. 三种访问说明符: public:允许从类外部的任何地方访问成员. ...

  7. 云原生时代 RocketMQ 运维管控的利器 - RocketMQ Operator

    作者 | 刘睿.杜恒 导读:RocketMQ Operator 现已加入 OperatorHub,正式进入 Operator 社区.本文将从实践出发,结合案例来说明,如何通过 RocketMQ Ope ...

  8. 最佳实践丨构建云上私有池(虚拟IDC)的5种方案详解

    ​简介:云上私有池系列终篇终于来了,本文将重点介绍构建云上的私有池(虚拟IDC)的多种方案和各自的优缺点,并给出相关的性价比优化建议. 本文作者:阿里云技术专家李雨前 摘要 围绕私有池(虚拟IDC)的 ...

  9. 解决 Serverless 落地困难的关键,是给开发者足够的“安全感”

    ​简介:越来越多的云产品都会向全托管.Serverless 形态演进.当云的产品体系 Serverless 化达到一个临界值,通过函数计算这样的 Serverless 计算服务结合其他 Serverl ...

  10. 庖丁解InnoDB之UNDO LOG

    ​简介: Undo Log是InnoDB十分重要的组成部分,它的作用横贯InnoDB中两个最主要的部分,并发控制(Concurrency Control)和故障恢复(Crash Recovery),I ...