概述
上兩篇(asp.net core 3.x 身份驗證-1涉及到的概念、asp.net core 3.x 身份驗證-2啟動階段的配置)介紹了身份驗證相關概念以及啟動階段的配置,本篇以cookie身份驗證為例來大致說明asp.net core中的身份驗證原理。如果我們的應用只考慮瀏覽器使用,且不考慮前后端分離,cookie是最簡單的身份驗證方式。雖然這樣命名,但我們的用戶標識並非一定要存到cookie里,asp.net core允許我們存儲到任何地方,如:session、自定義基於內存的存儲、redis等等。身份驗證與asp.net core Identity結合會更簡單,它提供了用戶管理功能,以及更身份驗證相關的輔助類,如:SignManager,不過暫時不將這東東。
還是以宏觀上的理解和使用為主。主要涉及如下流程:
- 未登錄時請求受保護的資源
- 登錄
- 已登錄時訪問受保護的資源
- 注銷
其中步驟1、3差別很小。總體流程大致如下圖:
先在Startup中做如下配置:
1 public void ConfigureServices(IServiceCollection services) 2 { 3 services.AddAuthentication().AddCookie(); 4 services.AddControllersWithViews(); 5 } 6 7 // This method gets called by the runtime. Use this method to configure the HTTP request pipeline. 8 public void Configure(IApplicationBuilder app, IWebHostEnvironment env) 9 { 10 if (env.IsDevelopment()) 11 { 12 app.UseDeveloperExceptionPage(); 13 } 14 else 15 { 16 app.UseExceptionHandler("/Home/Error"); 17 } 18 app.UseStaticFiles(); 19 20 app.UseRouting(); 21 app.UseAuthentication(); 22 app.UseAuthorization(); 23 24 app.UseEndpoints(endpoints => 25 { 26 endpoints.MapControllerRoute( 27 name: "default", 28 pattern: "{controller=Home}/{action=Index}/{id?}"); 29 }); 30 }
流程1、3、訪問受保護的資源
當我們在Startup.Configre中 app.UseAuthentication(); 將注冊身份驗證中間AuthenticationMiddleware,它負責在請求階段嘗試從請求中獲取用戶標識,若獲取到則賦值給HttpContext.User屬性,否則以匿名用戶身份繼續執行下一個中間件。
AuthenticationMiddleware
流程大致如下:
- 遍歷程序中所有實現IAuthenticationRequestHandler身份驗證處理器,調用其HandleRequestAsync方法,此方法若返回true則終止本次請求
- 通過AuthenticationSchemeProvider獲取默認身份驗證方案
- 調用httpContext.AuthenticateAsync(默認方案名)嘗試從請求中獲取當前用戶
- 如果前一步獲取到用戶,則設置到httpContext.User屬性上
- 無論是否成功獲取用戶請求都會進入下一個中間件繼續后續執行
步驟1中允許AuthenticationHandler在特定情況下終止請求,如果我們將來自定義AuthenticationHandler時實現IAuthenticationRequestHandler可以達到這種目的
步驟3是核心,httpContext.AuthenticateAsync是擴展方法,內部從IOC容器中獲取AuthenticationService並調用其同名方法
疑惑:AuthenticationMiddleware始終獲取默認身份驗證方案然后嘗試從請求中獲取用戶標識,這個默認是通過Startup.ConfigreService中 services.AddAuthentication(默認方案名) 來配置的。但一個系統中可以注冊多個身份驗證方案(如:同時支持Cookie和JWTBearerToken方式),所以咋處理呢?我目前能想到的是要么純網站直接用cookie,前后端分離或移動端app默認方案設置為JWTBearerToken;另一種方式再自定義一個AuthenticationMiddleware;但是感覺都很別扭,所以你有好的想法請指教下,不勝感激!
AuthenticationService.AuthenticateAsync
大致執行如下步驟:
- 通過AuthenticationHandlerProvider(注入進來的)獲取指定(這里就是默認的)身份驗證方案名獲取關聯的身份驗證處理器AuthenticationHandler
- 調用AuthenticationHandler.AuthenticateAsync()嘗試從請求中獲取用戶
- 返回前嘗試將用戶標識轉換成另一個用戶標識(且進行緩存,由於AuthenticationService是Scope注冊的,所以沒問題)
步驟2針對Cookie身份驗證來說最終體現為CookieAuthenticationHandler.HandleAuthenticateAsync()
步驟3在將用戶標識設置到httpContext.User之前允許我們添加修改用戶標識的某些數據。實現方式是定義類實現IClaimsTransformation並將其(推薦單例)注冊到依賴注入容器。
CookieAuthenticationHandler.HandleAuthenticateAsync
大致流程如下:
- 通過Options.CookieManager獲取cookie
- 若Options.SessionStore不為空則從其獲取票證,否則直接解密cookie得到票證
- 處理票證過期(如Option設置了滑動過期,在過期時響應時重新將票證寫入cookie)
- 回調Events.ValidatePrincipal允許我們修改或替換用戶標識
上述步驟多次用到了Options,它是CookieAuthenticationOptions類型的,專門針對基於cookie的身份驗證處理器的選項對象,參考:《asp.net core 3.x 身份驗證-2啟動階段的配置》,此選項對象的默認賦值行為在PostConfigureCookieAuthenticationOptions.PostConfigre中定義,我們也可以在啟動配置時進行定制,
比如我們想直接將票證存儲到自定義的存儲中時可以參考下面的配置:
- 自定義一個類實現ITicketStore(參考)
- 配置cookie身份驗證方案時修改選項 services.AddAuthentication().AddCookie(opt=> opt.SessionStore = new MySessionStore());
在CookieAuthenticationHandler的其它多個步驟中都可能使用到此選項對象。使用方式都類似。
在前一步驟AuthenticationService.AuthenticateAsync的步驟3中允許我們的代碼替換/修改用戶標識,在這里的步驟4也允許做類似的事,區別在於前者是針對所有身份驗證方案有效的,如默認身份驗證方案為JwtBeaerToken時也有效。而后者只是針對cookie身份驗證有效。
AuthorizationMiddleware
由於首次請求用戶尚未登錄,所以context.User為空。授權中間件最終會執行 context.ChallengeAsync(); 最終會執行CookieAuthenticationHandler.HandleChallengeAsync
CookieAuthenticationHandler.HandleChallengeAsync
默認大致流程如下:
- 組織登錄頁地址:Options.LoginPath + QueryString.Create(Options.ReturnUrlParameter, 當前地址);
- 回調Events.RedirectToLogin,若是ajax請求則返回401狀態碼,否則跳轉到登錄頁
默認登錄頁地址"/Account/Login",參考PostConfigureCookieAuthenticationOptions.PostConfigre
默認處理流程如下:
1 public Func<RedirectContext<CookieAuthenticationOptions>, Task> OnRedirectToLogin { get; set; } = context => 2 { 3 if (IsAjaxRequest(context.Request)) 4 { 5 context.Response.Headers[HeaderNames.Location] = context.RedirectUri; 6 context.Response.StatusCode = 401; 7 } 8 else 9 { 10 context.Response.Redirect(context.RedirectUri); 11 } 12 return Task.CompletedTask; 13 };
我們也可以通過在應用啟動時通過選項對象來修改。
1 services.AddAuthentication().AddCookie(opt => 2 { 3 opt.LoginPath = "account/mylogin"; 4 opt.Events.OnRedirectToLogin = context => 5 { 6 context.Response.Redirect(context.RedirectUri); 7 return Task.CompletedTask; 8 }; 9 });
流程2、登錄
前端提交用戶名密碼,Action去數據庫對比,若成功則以用戶id(或一些非常常用的和與授權相關的屬性)作為用戶標識。然后調用HttpContext.SignInAsync(ClaimsPrincipal),所以最終會執行CookieAuthenticationHandler.HandleSignInAsync
CookieAuthenticationHandler.HandleSignInAsync
大致步驟如下:
- 准備一個CookieSigningInContext(=當前上下文+當前身份驗證方案+當前身份驗證方案關聯的選項對象+需要登錄用戶的標識+cookie選項+額外數據)
- 處理過期時間等屬性
- 回調Events.SigningIn,允許我們在寫入cookie之前做調整
- 准備票證(=用戶 + 身份驗證相關屬性 + 身份驗證方案名 )
- 若此身份驗證處理器對應的選項配置了Options.SessionStore則使用此存儲,否則加密票證寫入cookie
- 回調Events.SignedIn
- 最后回調Events.RedirectToReturnUrl嘗試調整會最初的訪問頁面
流程4、注銷
在Action中調用Context.SingOutAsync可以實現注銷,在為傳入方案名的情況下使用默認身份驗證方案進行注銷,假設默認是cookie身份驗證,則CookieAuthenticationHandler.HandleSignOutAsync將被執行。大致流程如下:
若選項對象配置了Options.SessionStore則從其清空用戶標識
回調Events.SigningOut
清除cookie(可能是含sessionKey或包含用戶標識的cookie)
通過回調Events.RedirectToReturnUrl跳轉到Options.ReturnUrlParameter頁面
總結
本篇只是從大方向說了下基於cookie的身份驗證原理,對於我們開發者來說只要記住如下幾個點就行了,將來有特殊需求時再去看源碼。
- 應用啟動時Startup中通過AddAuthencation(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie(opt=>{ 配置各種選項/不配置直接使用默認值 });Configure方法中app.UseRouting();后app.UseAuthentication();插入身份驗證中間件
- opt是CookieAuthenticationOptions類型,我們可以通過它來參與到身份驗證的過程中去,記得它有個回調函數集合Events屬性。這個選項對象的默認值定義在PostConfigureCookieAuthenticationOptions.PostConfigre、CookieAuthenticationDefaults,Events屬性的類型和默認值參考CookieAuthenticationEvents
- 通常我們調用身份驗證方法是通過HttpContext來調用,它會從IOC容器拿到AuthenticationService調用其同名方法,最終會找到合適的AuthenticationHandler並調用其同名方法
暫時就想到這么多,以后想到再補充吧。