長話短說:上文我們講了 ASP.NET Core 基於聲明的訪問控制到底是什么鬼?
今天我們乘勝追擊:聊一聊ASP.NET Core 中的身份驗證。
身份驗證是確定用戶身份的過程。 授權是確定用戶是否有權訪問資源的過程。
1. 萬變不離其宗
顯而易見,一個常規的身份認證用例包括兩部分:
① 對用戶進行身份驗證
② 在未經身份驗證的用戶試圖訪問受限資源時作出反應
已注冊的身份驗證處理程序及其配置選項被稱為“方案”,方案可用作一種機制,供用戶參考相關處理程序的身份驗證、挑戰和禁止行為。
我們口頭上常說的:
基於cookie認證方案,若認證成功,go on,若認證失敗則跳轉回登錄頁面;
基於基本身份認證(BA)方案,若認證成功,go on,若認證失敗則給瀏覽器返回WWW-Authenticate標頭, 瀏覽器會再次彈出認證窗口。
2. ASP.NET Core認證原理
在 ASP.NET Core 中,身份驗證由IAuthenticationService負責,身份驗證服務會調用已注冊的身份驗證處理程序來完成與身份驗證相關的操作, 整個驗證過程由認證中間件來串聯。
一圖以蔽之:
其中有幾個關鍵步驟
①. 認證處理程序
可結合方案Scheme中的配置項AuthenticationSchemeOptions編寫認證處理程序。
基於Cookie的認證方案可在Options項中可指定登錄地址,
基於基本身份的認證方案可在Options項中指定用戶名/密碼;
②. 身份認證程序繼承自AuthenticationHandler類或IAuthenticationHandler接口。
核心認證函數可落地基於聲明的訪問控制,生成綁定了ClaimsPrincipal、Scheme的AuthenticationTicket對象; 無論認證成功/失敗,函數返回AuthenticateResult對象。
挑戰/質詢 (對未認證的用戶做出的反應): 401 Unauthorized + 例如返回登錄頁面
禁止(對已認證,但對特定資源無權訪問做出的反應) :403 Forbidden + 例如返回提示字符串
以上均為服務注冊過程
③. 收到請求,認證中間件使用IAuthenticationService對HttpContext按照要求的scheme進行認證,
實際內部會調用第2步編寫的認證處理程序。
以上認證原理,之前有一個近身實戰: ASP.NET Core 實現基本身份驗證。
源代碼如下: https://www.cnblogs.com/JulianHuang/p/10345365.html
3. ASP.NET Core獲取當前用戶
基於聲明的訪問控制, 我們會在HttpContext.User屬性存儲身份信息。
var claims = new[] {
new Claim(ClaimTypes.NameIdentifier,username),
new Claim(ClaimTypes.Name,username),
};
var identity = new ClaimsIdentity(claims, Scheme.Name);
var principal = new ClaimsPrincipal(identity);
Context.User = principal;
Web應用程序中獲取當前登錄用戶, 有兩種代碼場合:
3.1 在控制器中獲取當前登錄用戶
控制器是處理請求的 一等公民,天生自帶HttpContext。
直接通過ControllerBase基類中包含的HttpContext屬性,獲取User對象。
實際上Razor Page、Razor View、Middleware均包含HttpContext屬性/參數, 可直接使用。
3.2 在服務中獲取當前登錄用戶
這個時候,服務是作為請求處理中的一個環節,並沒有直接可用的HttpContext。
ASP.NET Core 提供了IHttpContextAccessor類能夠注入此次請求中的HttpContext對象(依賴注入框架的作用)。
// 下面的用戶實體類,需要獲取當前登錄用戶,借助IHttpContextAccessor注入httpContext
public class UserEntityService : IUserEntityService
{
private IHttpContextAccessor _accessor;
private readonly IMongoCollection<UserProfile> _users;
public UserEntityService(IHttpContextAccessor accessor, IDefaultMongoDatabaseProvider databaseProvider)
{
_accessor = accessor;
_users = databaseProvider.GetCollection<UserProfile>(CollectionNames.UserProfiles);
}
public Task<UserProfile> GetCurrentUserAsync()
{
var rawUser = this._accessor.HttpContext.User();
if (rawUser == null)
{
return null;
}
var filter = Builders<UserProfile>.Filter.Eq("UserId", rawUser.UserId);
return _users.Find(filter).FirstOrDefaultAsync();
}
}
+ abp vnext
我們不需要區分以上代碼場合,在Controller或者Application 服務中使用ICurrentUser接口拿到登錄用戶。
旁白
個人認為,ASP.NET Core身份認證的源代碼, 基於現實認知提煉而來,讓我們驚嘆於框架代碼的的簡潔精煉、層次分明。
基於聲明的訪問控制已成標准,ASP.NET Core/abp vnext 均提供了完善的支持。