ASP.NET沒有魔法——ASP.NET 身份驗證與Identity

　　前面的文章中為My Blog加入了文章的管理功能（ASP.NET沒有魔法——ASP.NET MVC使用Area開發一個管理模塊），但是管理功能應該只能由“作者”來訪問，那么要如何控制用戶的訪問權限？也就是當用戶訪問管理功能時需要對用戶進行身份驗證，對於用戶來說身份驗證也就是登錄，即提供一個登錄界面，通過賬號密碼的形式登錄后就可以訪問受限制的內容。

　　本文將從以下幾個方面介紹ASP.NET MVC是如何實現用戶身份驗證的：
　　● Web中的身份驗證
　　● ASP.NET的Identity組件介紹
　　● ASP.NET MVC中使用Identity——組件安裝
　　● ASP.NET MVC中使用Identity——EntityFramework
　　● ASP.NET MVC中使用Identity——注冊功能的實現
　　● ASP.NET MVC中使用Identity——登錄功能的實現
　　● ASP.NET MVC中使用Identity——身份驗證功能的實現

　　注：本文的目的是介紹在已存在的項目中如何使用Identity組件來添加用戶注冊、登錄和驗證的功能，所以內容會比較細瑣，后續會對Identity中比較關鍵的點進行介紹，如用戶密碼的加解密、Cookie的生成與驗證，Identity與Owin等等方面進行深入分析介紹。

Web中的身份驗證

　　Web應用作為一種特殊的應用軟件系統，它是基於HTTP協議的，由於HTTP的獨特性(無狀態)所以每一次訪問都是獨立的、不攜帶上一次請求信息的，所以現在常用的身份驗證方式都是通過Cookie或者url查詢字符串的形式來保存“狀態”信息，達到每次訪問服務器，服務器都能“知道”用戶身份的目的。

　　ASP.NET作為一個Web程序的開發框架，提供了一些身份驗證的方式如From驗證，它通過用戶提到的服務器的用戶特征(如用戶名、密碼等)生成一個加密的Cookie信息，后續請求中將帶着該Cookie信息證明用戶身份。下圖是博客園中的Cookie信息：

　　

　　隨着軟件系統的發展，普通的身份驗證已經不能滿足系統的需求，如登錄時候的二次驗證、第三方賬號登錄、用戶授權等。所以ASP.NET又針對這些需求開發了Identity組件(Identity的前身為MemberShip)。

ASP.NET的Identity組件介紹

　　Identity用來快速為ASP.NET應用程序搭建一個完善的身份驗證系統。它可以支持ASP.NET框架下的所有程序身份驗證，並通過EF Code First來支持用戶數據的持久化，並集成OWIN來解耦不再依賴System.Web。另外它還支持第三方賬號登錄、短信/郵件二次驗證等高級功能。

　　Identity主要的組件如下：

　　● Microsoft.AspNet.Identity.Core：Identity的核心類庫，實現了身份驗證的核心功能，並提供了拓展接口。
　　● Microsoft.AspNet.Identity.EntityFramework：Identity數據持久化的EF實現。
　　● Microsoft.AspNet.Identity.OWIN：基於Identity的OWIN身份驗證插件，它代替了原有的Form驗證。
　　● Microsoft.Owin.Host.SystemWeb：Owin的IIS宿主，將IIS的接收到的請求轉入Owin處理。

ASP.NET MVC中使用Identity——組件安裝

 　　1. 通過Nuget來安裝Microsoft.AspNet.Identity.EntityFramework（已包含Microsoft.AspNet.Identity.Core）：

　　

　　2. 安裝Microsoft.AspNet.Identity.OWIN：

　　

　　3. 安裝Microsoft.Owin.Host.SystemWeb：

　　

ASP.NET MVC中使用Identity——EntityFramework

　　上面介紹過Identity支持EF的code first，那么自然就會想到實體與DBContext，那么在Identity中它們是怎么實現的呢？

　　1. Identity中的實體：

　　以User信息為例，Microsoft.AspNet.Identity.Core類庫中提供了User的核心接口：

　　

　　它的具體實現則位於Microsoft.AspNet.Identity.EntityFramework中：

　　

　　除了User外，Identity還定義了Role、UserClaim、UserLogin以及UserRole這些實體，如下圖：

　　

 

　　2. Identity中的DBContext：

　　在Microsoft.AspNet.Identity.EntityFramework中提供了一個IdentityDbContext類型(注：其它IdentityDbContext的泛型實現是用於對實體進行拓展的，如果沒有拓展需求，那么使用非泛型類型即可)。

　　

　　3. 在ASP.NET MVC項目中使用Identity提供的DbContext(注：本例中的代碼大部分參考ASP.NET MVC默認模板代碼)：

　　　　1). 繼承IdentityDbContext<TUser>類型，實現自己的DbContext（注：通過繼承來使用Identity的DbContext可以靈活的根據需求來改變DbContext及其實體的配置）。

　　　　

　　　　2). 使用enable-migrations命令啟用自動遷移，並在BlogIdentityDbContext中設置自動將數據庫更新至模型最新版本：

　　　　自動遷移(即無需使用add-migration命令來添加數據庫結構變更)：

　　　　

　　　　自動將數據庫更新到模型最新版本：

　　　　

 

　　 　注：本例基於My Blog的MySQL數據庫實現，在更新數據庫時為避免一下錯誤，所以在OnModelCreating中加入了兩個對象的主鍵。

　　　　

　　　　3). 在web.config中加入MySQL的EF配置以及一個名稱為"DefaultConnection"的連接字符串（因為上面的DbContext構造方法中指定了參數DefaultConnection）：

　　　　

　　　　　連接字符串：與BlogContext共用同一個數據庫：

　　　　　

　　　　注：此處要說明兩點，第一是使用配置文件的形式來配置EF的MySQL配置原因是，MyBlog中沒有引用EF MySQL的組件，無法使用代碼，只有等編譯完成后把所有依賴的程序集復制到bin目錄下，啟動程序時通過配置文件解析。第二點是現在在整個解決方案中引入了兩個DBContext，多個DBContext是可以共存的，只要對其進行正確的配置並提供正確的連接字符串。如果一個項目中有多個DBContext時，對其進行遷移操作就需要通過參數指定被操作的DbContext，可以參考這篇文章：http://www.cnblogs.com/Jack-Blog/p/4699596.html

 　　　　4). 可以執行update-database命令將DbContext同步到數據庫中(因為設置了數據庫自動同步，所以也可以等待后面運行程序時自動同步)：

　　　　

　　　　

ASP.NET MVC中使用Identity——注冊功能的實現

　　在ASP.NET MVC中實現注冊功能之前，先要了解一下Identity組件提供的業務邏輯“層”（注：這里說“層”僅僅是為了對應現有的項目結構，有數據層和邏輯層，其實在Identity中也是這樣划分的，雖然它們都在同一個程序集中)。

　　Identity中提供了RoleManager、UserManager等業務邏輯的實現類型，下圖是UserManager的定義：

　　

　　從圖中可以看出，它已經具有創建用戶、添加角色等邏輯的實現，所以對於注冊功能來說僅需要調用UserManager的對應方法即可。下面就介紹如何添加注冊功能：

　　1. 添加注冊使用的ViewModel：

　　

　　2. 創建AccountController以及Register Action方法：

　　

　　注：UserManager依賴UserStore，UserStore又依賴於DbContext，也就是說業務邏輯依賴倉儲，倉儲又依賴數據庫操作的實現。

　　3. 創建View：

　　

　　4. 在布局頁面中加入注冊鏈接：

　　

　　5. 運行：

　　

　　

 　　數據庫結果：

　　

ASP.NET MVC中使用Identity——登錄功能的實現

　　登錄功能的目的是對用戶提交到服務器的用戶名和密碼進行驗證，驗證成功后生成一個包含用戶信息的加密的字符串並以Cookie的形式返回到客戶端。

　　登錄功能的實現方法與注冊差不多就是添加視圖模型、Action和View，然后在Action中調用Identity的用戶驗證方法即可：

　　1. 創建ViewModel：

　　

　　2. 添加登錄Action（注：sigInManager封裝了登錄的業務邏輯包括寫Cookie）：

　　

 　　3. 添加View並在布局頁面加入登錄鏈接：

　　

　　

 

　　4. 運行效果：

　　

　　

　　注：現在還未添加訪問的限制，所以登錄與不登錄其實上是一樣的。

ASP.NET MVC中使用Identity——身份驗證功能的實現

　　用戶完成登錄操作后僅僅是在Cookie中多了一個用戶信息，如果不對該信息進行驗證那么這個信息是沒有作用的，ASP.NET中沒有魔法，它任何的操作都是有代碼在后面支撐，那用於支撐Identity的身份驗證的代碼是什么呢？之前在介紹Identity時提到過它是通過Owin來與Web服務器解耦的，Owin它是Web服務器處理HTTP請求的一個規范，而它在IIS中是一個httpModule擴展(關於Owin后續會進行詳細介紹)。總的來說在IIS中Owin以HttpModule的拓展方式，為HTTP的請求處理又添加了一個處理管道。

　　那么Identity與Owin的集成實際上是在Owin的處理管道中，來讀取請求數據中的登錄后生成的Cookie並驗證，實現的具體方式如下：

　　1. 創建一個Owin Startup類文件：

　　

　　2. 在Configuration方法中添加Cookie驗證的中間件，當未登錄訪問受限內容時自動跳轉登錄頁面：

　　

　　3. 為需要限制訪問的Controller添加Authorize特性：

　　

　　4. 在布局文件中添加邏輯判斷，當登錄成功后顯示用戶名，未登錄時顯示登錄鏈接：

　　

　　5. 運行：

　　訪問受限頁面admin/home/index（未登錄將跳轉）：

　　

　　登錄后能夠訪問被限制的內容：

　　

　　登錄后的首頁（由於樣式問題”歡迎 admin“字符串與背景同色( ╯□╰ )）：

　　

小結

　　本章主要內容是對ASP.NET 身份驗證以及Identity進行了簡要的介紹，然后解釋了在ASP.NET MVC中是如何通過Identity實現用戶的注冊、登錄和身份驗證的。本例的代碼主要參考並簡化了默認的ASP.NET MVC帶有獨立身份驗證的模板代碼，所以如有需要可對照模板代碼進行對比。

 　　另外要注意的是通過模板建立的注冊、登錄都是帶有模型數據驗證的，但本例中沒有加入，關於模型的驗證會在后續介紹。

參考：

　　http://johnatten.com/2014/04/20/asp-net-mvc-and-identity-2-0-understanding-the-basics/
　　https://docs.microsoft.com/en-us/aspnet/identity/overview/getting-started/adding-aspnet-identity-to-an-empty-or-existing-web-forms-project
　　https://msdn.microsoft.com/zh-cn/library/azure/ms789031(v=vs.90).aspx
　　http://www.cnblogs.com/dinglang/archive/2012/06/03/2532664.html
　　http://www.cnblogs.com/xzwblog/archive/2017/05/10/6834663.html

本文鏈接：http://www.cnblogs.com/selimsong/p/7723827.html 

ASP.NET沒有魔法——目錄