前言

在上一章 学学 dotnet core 中的身份验证和授权-1-概念 中,我们大致明白了身份验证和授权两者的关系。那么在本文中,我们将使用 cookie 来做一个简单的身份验证和授权。

本文中我使用的是 .net core6,并用 MiniApi 的方式编写。

下发凭证

在上一章中,我们得知客户端必须先从服务器上得到凭证,才能够这个凭证去进行身份验证和授权。所以我们的第一步就是:从服务器得到凭证。

这种下发凭证的接口一般是登录接口,所以,我们来弄一个登录的接口吧。

在 MiniApi 中写一个 Login 接口:

app.MapPost("/login", ( /* 省略登录参数 */ ) => {
// 省略登录步骤
// 假设登录成功后
return Results.Ok();
});

请注意,在本文中重点是介绍身份验证和授权,所以像上面的登录接口,我会省略掉登录的代码,着重在登录成功后如何下发凭证上

在登录成功后,我们便可以将证明当前用户身份的声明,下发到客户端。所以我们要先有声明,然后再使用 cookie 的方式来下发它。

app.MapPost("/login", async (HttpContext context /* 省略登录参数 */) =>
{
// 省略登录步骤,假设登录成功后 // 定义声明
var claims = new List<Claim>
{
new Claim(ClaimTypes.Name, "张三"),
new Claim("核酸", "24")
};
var claimsIdentity = new ClaimsIdentity(
claims, CookieAuthenticationDefaults.AuthenticationScheme);
var claimsPrincipal = new ClaimsPrincipal(claimsIdentity); // 下发
await context.SignInAsync(
CookieAuthenticationDefaults.AuthenticationScheme,
claimsPrincipal); return Results.Ok();
});

如上面代码,定义声明,其实就是写一个声明列表,将要用的声明都装进去。在下发的时候,我们是下发一个证件包。就像我们上一章讲到的,多个条目组合成一个证件,多个证件组合成一个证件包。

有了证件包后,要怎么下发凭证呢?通过调用 SignInAsync 方法。这个方法在 HttpContext 中,所以要先注入 HttpContext 才能使用。在我们的例子中,我们给 SignInAsync 方法传递了两个参数,一个是你的身份验证策略名,一个是你要下发的证件包。

但是我们还没有定义任何身份验证策略呢,如果现在直接去调用的话,你会发现程序是会报错的。所以我们要定义一个身份验证策略,在下发凭证的时候,就使用这个策略下发。

定义身份验证策略

net core 中有一些内置的身份验证策略,cookie 就是其中之一。我们使用起来也非常简单:

builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
.AddCookie();
// 要在 Build 之前加
var app = builder.Build();

你看就这么简单两句话,重点是 AddAuthentication 方法中的参数是一个策略名,你可以用任何字符串,但是要跟我们在下发时使用的策略名是一样的。在这里是因为有这么个常量可以用。然后后面跟着的 AddCookie() 方法,表示来使用 cookie 来进行身份验证。

如果你要对 cookie 有其他的设置,比如设定过期时间,就可以在 AddCookie 的参数里进行设置,如下:

builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
.AddCookie(options =>
{
options.ExpireTimeSpan = TimeSpan.FromDays(1);
options.SlidingExpiration = true;
});

还有很多设置,课后慢慢研究。

现在我们再来运行项目,然后请求这个登录接口 /login,成功的话响应会返回 cookie:

我们的凭证就存放在这个 cookie 当中,你看,是加密的。客户端拿到了凭证了。

拿到了凭证还不够,我们要在请求时携带上凭证,经过身份验证程序,得出凭证里的声明。这时就需要使用到我们的身份验证中间件。

身份验证中间件

我们在适当的地方添加身份验证中间件 UseAuthentication(),要在 Build() 之后,UseAuthorization() 之前。

var app = builder.Build();
// Build() 之后
// 添加身份验证中间件
app.UseAuthentication();
// UseAuthorization() 之前
app.UseAuthorization();

UseAuthentication() 这个中间件将会对我们的请求进行处理,并解析出里面的声明。

加上这个中间件后,我们再添加一个登出接口,注入 HttpContext

app.MapGet("/logout", (HttpContext context) =>
{
var user = context.User;
return Results.Ok();
});

携带上凭证请求这个接口,你就可以在 HttpContextUser 字段中得到声明。

调试如下:

可以看到正是我们在登录时装进去的声明。

声明拿到了,我们要怎么使用这个声明进行授权处理呢?

基于声明的授权策略

我们要告诉授权程序要怎么判断,就是写一个授权策略。

Build() 之前,添加如下服务:

builder.Services.AddAuthorization(options =>
{
options.AddPolicy("Need24", policy =>
{
policy.RequireAssertion(context =>
{
return true;
});
});
});

我们通过 AddAuthorization 添加授权,然后通过参数 options 添加授权策略。在上面的代码中,我们通过 options.AddPolicy 添加了一个名为 "Need24" 的策略。该策略的具体内容是什么呢?在该策略的参数中,我们通过 policy.RequireAssertion 方法指定该策略的内容,这个方法接收一个函数,这个函数通过返回 truefalse 来指示授权是否通过。

在上面的代码中,直接返回了 true。但是我们是要自己定策略的,我们要规定只有叫张三的,持有 24 核酸的才能通过。我们知道这两个条件可以在声明中获得,那么把代码改成这样:

builder.Services.AddAuthorization(options =>
{
options.AddPolicy("Need24", policy =>
{
policy.RequireAssertion(context =>
{
// 获取声明
var claims = context.User.Claims;
// 判断声明
if (claims.FirstOrDefault(t => t.Type == ClaimTypes.Name)?.Value == "张三"
&&
claims.FirstOrDefault(t => t.Type == "核酸")?.Value == "24")
{
return true;
}
return false;
});
});
});

当然啦我们不一定要使用 RequireAssertion 函数,还有其他的函数来根据情况使用,课后慢慢研究。

到了这里,我们就添加了一个名为 "Need24" 的授权策略,接下来,我们要指示这个策略要用在哪个接口上。

我们要用在登出接口 /logout 上,只需要在它的方法前加上 [Authorize("Need24")] 即可,如下:

app.MapGet("/logout", [Authorize("Need24")] (HttpContext context) =>
{
var user = context.User;
return Results.Ok();
});

如此,这个接口便会使用名为 "Need24" 的授权策略。

最后,添加 UseAuthorization() 中间件,千万要注意,授权中间件要添加在身份验证中间件之后。

app.UseAuthentication();
app.UseAuthorization();

测试

到这里,一整个 cookie 身份验证和授权的流程就搭完了,我们启动项目,清楚客户端的 cookie,在没有携带 cookie 的情况下去请求 /logout 接口。因为没有携带 cookie,也就没有携带凭证,而 /logout 接口是需要授权的,所以,意料之中的这个接口是请求不成功的。

由于是 Get 请求,所以我们可以直接在浏览器中导航到 /logout 来查看情况。

但是请求后,你应该会很奇怪地来到这个页面:

为什么会是 404 呢?再看地址栏,变成了 /Account/Login?ReturnUrl=%2Flogout,这又是为什么?

这是因为 cookie 的授权,如果不通过,会重定向到一个地址,这个地址默认是 /Account/Login。我们是可以在 AddCookie() 中修改这个地址的。因为我们没有 /Account/Login 这个接口,所以是 404。这也说明了我们的授权策略起效了。

接下来,我们先请求登录接口,该接口会返回包含我们声明的 cookie。然后我们再携带上 cookie 请求登出接口,此时应该是返回了 200 的。这说明我们的身份验证和授权生效了。

总结

本文中指示简单介绍了 cookie 的身份验证和授权的用法。使用 cookie,在实际情况中还会遇到很多问题,如:跨域的情况。所以 cookie 使用得也并不多。

在下一篇中,我将介绍常用的 JWT 验证。

参考连接

使用 cookie 的身份验证和授权的更多相关文章

  1. 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分

    原文:使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)--第1部分 原文链接:https://www.codeproject.com/Articles/5160941/ASP- ...

  2. 学学dotnet core中的身份验证和授权-1-概念

    前言 身份验证: Authentication 授权: Authorization net core 中的身份验证和授权这两个部分,是相辅相成的.当初我在学在部分的时候,是看的 net core 官网 ...

  3. 从零搭建一个IdentityServer——聊聊Asp.net core中的身份验证与授权

    OpenIDConnect是一个身份验证服务,而Oauth2.0是一个授权框架,在前面几篇文章里通过IdentityServer4实现了基于Oauth2.0的客户端证书(Client_Credenti ...

  4. ASP.NET Web API身份验证和授权

    英语原文地址:http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-a ...

  5. ASP.NET MVC5学习系列——身份验证、授权

    一.什么是身份验证和授权 人们有时对用户身份验证和用户授权之间的区别感到疑惑.用户身份验证是指通过某种形式的登录机制(包括用户名/密码.OpenID.OAuth等说明身份的项)来核实用户的身份.授权验 ...

  6. 接口测试:添加cookie以及身份验证

    添加cookie以及身份验证的接口文档: cookie:存放在本地的一个键值对 session:存放在服务端的一个键值对 学生金币充值接口文档: 一.使用postman进行测试 由于进行学生金币充值操 ...

  7. ASP.NET WEBAPI 的身份验证和授权

    定义 身份验证(Authentication):确定用户是谁. 授权(Authorization):确定用户能做什么,不能做什么. 身份验证 WebApi 假定身份验证发生在宿主程序称中.对于 web ...

  8. ASP.NET MVC5(五):身份验证、授权

    使用Authorize特性进行身份验证 通常情况下,应用程序都是要求用户登录系统之后才能访问某些特定的部分.在ASP.NET MVC中,可以通过使用Authorize特性来实现,甚至可以对整个应用程序 ...

  9. mongo的身份验证和授权

    问题来源 刚装好的mongo,准备登陆进去测一把的,结果就给我报这个错,鄙人是新手,还不太清楚这个,现学一下~ Mongo的身份验证 在上一篇安装mongo的博客中(https://www.cnblo ...

随机推荐

  1. JDK安装和卸载

    安装:https://blog.csdn.net/Cassiel_Paris/article/details/98941767 卸载:https://www.cnblogs.com/WZ-BeiHan ...

  2. JAVA环境搭建之MyEclipse10+jdk1.8+tomcat8环境搭建详解

    一.安装JDK 1.下载得到jdk-8u11-windows-i586.1406279697.exe,直接双击运行安装,一直next就可以,默认是安装到系统盘下面Program Files, 我这里装 ...

  3. DWRUtil.addOptions

    DWRUtil.addOptions有5种模式 数组: DWRUtil.addOptions(selectid, array) 会创建一堆option,每个option的文字和值都是数组元素中的值. ...

  4. java反射相关

    反射的机制:反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意一个方法和属性:这种动态获取的信息以及动态调用对象的方法的功能称为java语言 ...

  5. docker更新portainer-ce2.0

    前两天,我在使用portainer的过程中发现左下角提醒有新版本的portainer需要安装,google了一圈如何升级portainer,并没有找到我需要的资料,就算获取了portainer:las ...

  6. 第一阶段:Java基础之OOP

    OOP:面向对象编程 三大特征: 封装 继承 多态

  7. ASP.NET Core的几种服务器类型[共6篇]

    作为ASP.NET CORE请求处理管道的"龙头"的服务器负责监听和接收请求并最终完成对请求的响应.它将原始的请求上下文描述为相应的特性(Feature),并以此将HttpCont ...

  8. CVPR 2022数据集汇总|包含目标检测、多模态等方向

    前言 本文收集汇总了目前CVPR 2022已放出的一些数据集资源. 转载自极市平台 欢迎关注公众号CV技术指南,专注于计算机视觉的技术总结.最新技术跟踪.经典论文解读.CV招聘信息. M5Produc ...

  9. petite-vue源码剖析-逐行解读@vue-reactivity之effect

    当我们通过effect将副函数向响应上下文注册后,副作用函数内访问响应式对象时即会自动收集依赖,并在相应的响应式属性发生变化后,自动触发副作用函数的执行. // ./effect.ts export ...

  10. 上市公司招聘:今天国际直聘DBA

    今天国际一家专业的智慧物流·智能制造系统综合解决方案提供商,为生产制造.流通配送企业提供智慧物流·智能制造系统 的规划设计.系统集成.软件开发.设备定制.电控系统开发.现场安装调试.客户培训和售后服务 ...