ASP.NET Cookie是怎么生成的

可能有人知道Cookie的生成由machineKey有关,machineKey用于决定Cookie生成的算法和密钥,并如果使用多台服务器做负载均衡时,必须指定一致的machineKey用于解密,那么这个过程到底是怎样的呢?

如果需要在.NET Core中使用ASP.NET Cookie,本文将提到的内容也将是一些必经之路。

抽丝剥茧,一步一步分析

首先用户通过AccountController->Login进行登录:

//

// POST: /Account/Login

public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)

{

    if (!ModelState.IsValid)

    {

        return View(model);

    }

    var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);

    switch (result)

    {

        case SignInStatus.Success:

            return RedirectToLocal(returnUrl);

        // ......省略其它代码

    }

}

它调用了SignInManagerPasswordSignInAsync方法,该方法代码如下(有删减):

public virtual async Task<SignInStatus> PasswordSignInAsync(string userName, string password, bool isPersistent, bool shouldLockout)

{

    // ...省略其它代码

    if (await UserManager.CheckPasswordAsync(user, password).WithCurrentCulture())

    {

        if (!await IsTwoFactorEnabled(user))

        {

            await UserManager.ResetAccessFailedCountAsync(user.Id).WithCurrentCulture();

        }

        return await SignInOrTwoFactor(user, isPersistent).WithCurrentCulture();

    }

    // ...省略其它代码

    return SignInStatus.Failure;

}

想浏览原始代码,可参见官方的Github链接:https://github.com/aspnet/AspNetIdentity/blob/master/src/Microsoft.AspNet.Identity.Owin/SignInManager.cs#L235-L276

可见它先需要验证密码,密码验证正确后,它调用了SignInOrTwoFactor方法,该方法代码如下:

private async Task<SignInStatus> SignInOrTwoFactor(TUser user, bool isPersistent)

{

    var id = Convert.ToString(user.Id);

    if (await IsTwoFactorEnabled(user) && !await AuthenticationManager.TwoFactorBrowserRememberedAsync(id).WithCurrentCulture())

    {

        var identity = new ClaimsIdentity(DefaultAuthenticationTypes.TwoFactorCookie);

        identity.AddClaim(new Claim(ClaimTypes.NameIdentifier, id));

        AuthenticationManager.SignIn(identity);

        return SignInStatus.RequiresVerification;

    }

    await SignInAsync(user, isPersistent, false).WithCurrentCulture();

    return SignInStatus.Success;

}

该代码只是判断了是否需要做双重验证,在需要双重验证的情况下,它调用了AuthenticationManagerSignIn方法;否则调用SignInAsync方法。SignInAsync的源代码如下:

public virtual async Task SignInAsync(TUser user, bool isPersistent, bool rememberBrowser)

{

    var userIdentity = await CreateUserIdentityAsync(user).WithCurrentCulture();

    // Clear any partial cookies from external or two factor partial sign ins

    AuthenticationManager.SignOut(DefaultAuthenticationTypes.ExternalCookie, DefaultAuthenticationTypes.TwoFactorCookie);

    if (rememberBrowser)

    {

        var rememberBrowserIdentity = AuthenticationManager.CreateTwoFactorRememberBrowserIdentity(ConvertIdToString(user.Id));

        AuthenticationManager.SignIn(new AuthenticationProperties { IsPersistent = isPersistent }, userIdentity, rememberBrowserIdentity);

    }

    else

    {

        AuthenticationManager.SignIn(new AuthenticationProperties { IsPersistent = isPersistent }, userIdentity);

    }

}

可见,最终所有的代码都是调用了AuthenticationManager.SignIn方法,所以该方法是创建Cookie的关键。

AuthenticationManager的实现定义在Microsoft.Owin中,因此无法在ASP.NET Identity中找到其源代码,因此我们打开Microsoft.Owin的源代码继续跟踪(有删减):

public void SignIn(AuthenticationProperties properties, params ClaimsIdentity[] identities)

{

    AuthenticationResponseRevoke priorRevoke = AuthenticationResponseRevoke;

    if (priorRevoke != null)

    {

        // ...省略不相关代码

        AuthenticationResponseRevoke = new AuthenticationResponseRevoke(filteredSignOuts);

    }

    AuthenticationResponseGrant priorGrant = AuthenticationResponseGrant;

    if (priorGrant == null)

    {

        AuthenticationResponseGrant = new AuthenticationResponseGrant(new ClaimsPrincipal(identities), properties);

    }

    else

    {

        // ...省略不相关代码

        AuthenticationResponseGrant = new AuthenticationResponseGrant(new ClaimsPrincipal(mergedIdentities), priorGrant.Properties);

    }

}

AuthenticationManagerGithub链接如下:https://github.com/aspnet/AspNetKatana/blob/c33569969e79afd9fb4ec2d6bdff877e376821b2/src/Microsoft.Owin/Security/AuthenticationManager.cs

可见它用到了AuthenticationResponseGrant,继续跟踪可以看到它实际是一个属性:

public AuthenticationResponseGrant AuthenticationResponseGrant

{

    // 省略get

    set

    {

        if (value == null)

        {

            SignInEntry = null;

        }

        else

        {

            SignInEntry = Tuple.Create((IPrincipal)value.Principal, value.Properties.Dictionary);

        }

    }

}

发现它其实是设置了SignInEntry,继续追踪:

public Tuple<IPrincipal, IDictionary<string, string>> SignInEntry

{

    get { return _context.Get<Tuple<IPrincipal, IDictionary<string, string>>>(OwinConstants.Security.SignIn); }

    set { _context.Set(OwinConstants.Security.SignIn, value); }

}

其中,_context的类型为IOwinContextOwinConstants.Security.SignIn的常量值为"security.SignIn"

跟踪完毕……

啥?跟踪这么久,居然跟丢啦!?

当然没有!但接下来就需要一定的技巧了。

原来,ASP.NET是一种中间件(Middleware)模型,在这个例子中,它会先处理MVC中间件,该中间件处理流程到设置AuthenticationResponseGrant/SignInEntry为止。但接下来会继续执行CookieAuthentication中间件,该中间件的核心代码在aspnet/AspNetKatana仓库中可以看到,关键类是CookieAuthenticationHandler,核心代码如下:

protected override async Task ApplyResponseGrantAsync()

{

    AuthenticationResponseGrant signin = Helper.LookupSignIn(Options.AuthenticationType);

    // ... 省略部分代码

    if (shouldSignin)

    {

        var signInContext = new CookieResponseSignInContext(

            Context,

            Options,

            Options.AuthenticationType,

            signin.Identity,

            signin.Properties,

            cookieOptions);

        // ... 省略部分代码

        model = new AuthenticationTicket(signInContext.Identity, signInContext.Properties);

        // ... 省略部分代码

        string cookieValue = Options.TicketDataFormat.Protect(model);

        Options.CookieManager.AppendResponseCookie(

            Context,

            Options.CookieName,

            cookieValue,

            signInContext.CookieOptions);

    }

    // ... 又省略部分代码

}

这个原始函数有超过200行代码,这里我省略了较多,但保留了关键、核心部分,想查阅原始代码可以移步Github链接:https://github.com/aspnet/AspNetKatana/blob/0fc4611e8b04b73f4e6bd68263e3f90e1adfa447/src/Microsoft.Owin.Security.Cookies/CookieAuthenticationHandler.cs#L130-L313

这里挑几点最重要的讲。

MVC建立关系

建立关系的核心代码就是第一行,它从上文中提到的位置取回了AuthenticationResponseGrant,该Grant保存了ClaimsAuthenticationTicketCookie重要组成部分:

AuthenticationResponseGrant signin = Helper.LookupSignIn(Options.AuthenticationType);

继续查阅LookupSignIn源代码,可看到,它就是从上文中的AuthenticationManager中取回了AuthenticationResponseGrant(有删减):

public AuthenticationResponseGrant LookupSignIn(string authenticationType)

{

    // ...

    AuthenticationResponseGrant grant = _context.Authentication.AuthenticationResponseGrant;

    // ...

    foreach (var claimsIdentity in grant.Principal.Identities)

    {

        if (string.Equals(authenticationType, claimsIdentity.AuthenticationType, StringComparison.Ordinal))

        {

            return new AuthenticationResponseGrant(claimsIdentity, grant.Properties ?? new AuthenticationProperties());

        }

    }

    return null;

}

如此一来,柳暗花明又一村,所有的线索就立即又明朗了

Cookie的生成

AuthenticationTicket变成Cookie字节串,最关键的一步在这里:

string cookieValue = Options.TicketDataFormat.Protect(model);

在接下来的代码中,只提到使用CookieManager将该Cookie字节串添加到Http响应中,翻阅CookieManager可以看到如下代码:

public void AppendResponseCookie(IOwinContext context, string key, string value, CookieOptions options)

{

    if (context == null)

    {

        throw new ArgumentNullException("context");

    }

    if (options == null)

    {

        throw new ArgumentNullException("options");

    }

    IHeaderDictionary responseHeaders = context.Response.Headers;

    // 省去“1万”行计算chunk和处理细节的流程

    responseHeaders.AppendValues(Constants.Headers.SetCookie, chunks);

}

有兴趣的朋友可以访问Github看原始版本的代码:https://github.com/aspnet/AspNetKatana/blob/0fc4611e8b04b73f4e6bd68263e3f90e1adfa447/src/Microsoft.Owin/Infrastructure/ChunkingCookieManager.cs#L125-L215

可见这个实现比较……简单,就是往Response.Headers中加了个头,重点只要看TicketDataFormat.Protect方法即可。

逐渐明朗

该方法源代码如下:

public string Protect(TData data)

{

    byte[] userData = _serializer.Serialize(data);

    byte[] protectedData = _protector.Protect(userData);

    string protectedText = _encoder.Encode(protectedData);

    return protectedText;

}

可见它依赖于_serializer_protector_encoder三个类,其中,_serializer的关键代码如下:

public virtual byte[] Serialize(AuthenticationTicket model)

{

    using (var memory = new MemoryStream())

    {

        using (var compression = new GZipStream(memory, CompressionLevel.Optimal))

        {

            using (var writer = new BinaryWriter(compression))

            {

                Write(writer, model);

            }

        }

        return memory.ToArray();

    }

}

其本质是进行了一次二进制序列化,并紧接着进行了gzip压缩,确保Cookie大小不要失去控制(因为.NET的二进制序列化结果较大,并且微软喜欢搞xml,更大

ASP.NET Cookie是怎么生成的的更多相关文章

  1. ASP.NET Cookie 概述【转】

    来源:http://msdn.microsoft.com/zh-cn/library/ms178194(VS.80).aspx ASP.NET Cookie 概述 Cookie 提供了一种在 Web ...

  2. asp.net下调用Matlab生成动态链接库

    对于这次论文项目,最后在写一篇关于工程的博客,那就是在asp.net下调用matlab生成的dll动态链接库.至今关于matlab,c/c++(opencv),c#(asp.net)我总共写了4篇配置 ...

  3. 【转】asp.net Cookie值中文乱码问题解决方法

    来源:脚本之家.百度空间.网易博客 http://www.jb51.net/article/34055.htm http://hi.baidu.com/honfei http://tianminqia ...

  4. ASP.NET WebAPI使用Swagger生成测试文档

    ASP.NET WebAPI使用Swagger生成测试文档 SwaggerUI是一个简单的Restful API测试和文档工具.简单.漂亮.易用(官方demo).通过读取JSON配置显示API .项目 ...

  5. How to secure the ASP.NET_SessionId cookie? 设置ASP.NET_SessionId Secure=true

    How to secure the ASP.NET_SessionId cookie? To add the ; secure suffix to the Set-Cookie http header ...

  6. 由Asp.Net客户端控件生成的服务器端控件

    由Asp.Net客户端控件生成的服务器端控件(也就是给客户端控件添加 runnat="server"),这样的控件既能在js中通过id命.类名获取到,也能在服务器端根据id获取到

  7. ASP组件AspJpeg(加水印)生成缩略图等使用方法

    ASP组件AspJpeg(加水印)生成缩略图等使用方法 作者: 字体:[增加 减小] 类型:转载 时间:2012-12-17我要评论 ASPJPEG是一款功能相当强大的图象处理组件,用它可以轻松地做出 ...

  8. asp.net core web api 生成 swagger 文档

    asp.net core web api 生成 swagger 文档 Intro 在前后端分离的开发模式下,文档就显得比较重要,哪个接口要传哪些参数,如果一两个接口还好,口头上直接沟通好就可以了,如果 ...

  9. ASP.NET Cookie和Session

    Cookie和Session C#在服务器,JS在客户端 客户端验证不能代替服务端验证 Http HTTP属于应用层,HTTP 协议一共有五大特点:1.支持客户/服务器模式;2.简单快速;3.灵活;4 ...

随机推荐

  1. 机器学习——EM

    整理自: https://blog.csdn.net/woaidapaopao/article/details/77806273?locationnum=9&fps=1 EM算法是用于含有隐变 ...

  2. linux进程一个阻塞 I/O 的例子

    最后, 我们看一个实现了阻塞 I/O 的真实驱动方法的例子. 这个例子来自 scullpipe 驱 动; 它是 scull 的一个特殊形式, 实现了一个象管道的设备. 在驱动中, 一个阻塞在读调用上的 ...

  3. C# 字典 Dictionary 的 TryGetValue 与先判断 ContainsKey 然后 Get 的性能对比

    本文使用 benchmarkdotnet 测试字典的性能,在使用字典获取一个可能存在的值的时候可以使用两个不同的写法,于是本文分析两个写法的性能. 判断值存在,如果值存在就获取值,可以使用下面两个不同 ...

  4. dotnet 判断程序当前使用管理员运行降低权使用普通权限运行

    有一些程序是不想通过管理员权限运行的,因为在很多文件的读写,如果用了管理员权限程序写入的程序,其他普通权限的程序是无法直接访问的.本文告诉大家如何判断当前的程序是通过管理员权限运行,然后通过资源管理器 ...

  5. 20191017-6 alpha week 2/2 Scrum立会报告+燃尽图 05

    此作业要求参见https://edu.cnblogs.com/campus/nenu/2019fall/homework/9802 小组名称:“组长”组 组长:杨天宇 组员:魏新,罗杨美慧,王歆瑶,徐 ...

  6. 边框,元素居中,盒子模型,margin,display,overflow,textarea,float,浮动停止条件,清除浮动影响,margin-top的bug,清除默认样式

    边框 solid实线 dotted虚线 dashed点线 盒子在页面中实际的宽高都是5部分组成 宽=borderleft+paddingleft+width+paddingright+borderri ...

  7. 啊哈!C语言课后参考答案下

    最近看到一本好评量很高的的C语言入门书,课本真的很好,入门的话.专业性没有那么强,但入门足够了!!好评!看着看着就想把这本书的题课后习题都写出来,最后就有了这个小结.可能有的不是最好,不那么专业,但主 ...

  8. Nginx流量复制

    1. 需求 将生产环境的流量拷贝到预上线环境或测试环境,这样做有很多好处,比如: 可以验证功能是否正常,以及服务的性能: 用真实有效的流量请求去验证,又不用造数据,不影响线上正常访问: 这跟灰度发布还 ...

  9. 2016女生专场 ABCDEF题解 其他待补...

    GHIJ待补... A.HUD5702:Solving Order Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/3276 ...

  10. ACM北大暑期课培训第五天

    今天讲的扫描线,树状数组,并查集还有前缀树. 扫描线   扫描线的思路:使用一条垂直于X轴的直线,从左到右来扫描这个图形,明显,只有在碰到矩形的左边界或者右边界的时候,这个线段所扫描到的情况才会改变, ...