一、前言
在前面的篇章介紹中,簡單介紹了IdentityServer4持久化存儲機制相關配置和操作數據,實現了數據遷移,但是未對用戶實現持久化操作說明。在總結中我們也提到了,
因為IdentityServer4本就支持了接入其他認證方式,所以自己根據需要進行合理擴展的,比如我們可以使用 Asp.Net Core 自帶的 Identity 身份認證機制來實現擴展,實現用戶數據持久化操作。
當然了,本篇暫時拋開IdentityServer4這個話題,而是單獨認識一下Asp.Net Core 自帶的 Identity 身份認證機制是什么樣的?
因此,本篇主要介紹的是將ASP.NET Core Identity 實戰應用。
二、初識
ASP.NET Core Identity是用於構建ASP.NET Core Web應用程序的身份認證系統,包括用戶數據,用戶身份以及注冊登錄信息數據存儲,可以讓您的應用擁有登錄功能以及持續化存儲登錄用戶相關數據。
ASP.NET Core Identity(下文簡稱Identity)可以簡單的用戶管理系統,但是卻是一個功能強大的系統,包含用戶管理的方方面面,主要包括:
- 用戶數據存儲(使用任意你喜歡的關系型數據庫,從sqllite到mysql、sqlserver等等,由Entity Framwork 支持)
- 登陸、注冊外加身份認證(基於cookie的身份認證,如果你使用Vs那么還可以生成用於注冊登錄的用戶界面及處理代碼)
- 角色管理
- 基於聲明的認證模式
具體對於Identity的理解可以參考Asp.Net Core之Identity入門
接下來我們主要是實踐應用一下,理解Identity。
三、實踐
3.1 創建項目
基於vs2019, .net core3.1創建asp.net core web 應用程序。
3.1.1 流程:
1.選擇“文件” > “新建” > “項目”。
2.選擇“ASP.NET Core Web應用程序”。 將項目命名WebIdentityDemoV3.0具有項目下載相同的命名空間。 單擊 “確定”。
3.選擇 ASP.NET Core Web MVC應用程序,然后選擇更改身份驗證。
4.選擇單個用戶帳戶然后單擊確定。
生成的項目 ASP.NET Core Identity 以類庫形式 Razor 提供。
3.1.2 目錄結構:
3.1.3 遷移數據
找到appsettings.json文件, ConnectionStrings的數據庫連接字符串,默認是連接本地的數據庫,當然了,你也可以改成你指定的數據庫地址。
"ConnectionStrings": {
"DefaultConnection": "Data Source=.;initial catalog=IdentityV3;user id=sa;password=123456;"
},
基於生成的遷移代碼,同步到數據庫
PM> Update-Database
到了這里,我們基本完成了Identity項目的搭建了,可以就此運行登錄注冊。
3.1.4 效果如下:
可是回到生成的目錄結構看來,卻發現沒有Identity用戶相關的model,cshtml等文件。這是為何呢?
其實這些相關文件已由內置Razor類庫提供。所以生成的代碼目錄沒有。
但實際開發中,我們需要生成相應的源代碼,以便根據開發需求拓展更改代碼和更改行為。所以可以根據net core為我們提供的基架標識(Scaffold Identiy)生成需要重寫的文件。
3.2 基架標識
在ASP.NET Core 2.1 及更高版本提供了ASP.NET Core Identity作為Razor 類庫。 包含Identity的應用程序可以應用基架,來有選擇地添加包含在Identity Razor 類庫 (RCL) 的源代碼。
3.2.1 流程:
1.從對應的項目中,右鍵單擊該項目 >添加 > 新基架項。
2.從左窗格添加基架對話框中,選擇標識 > 添加。
3.在中添加 標識添加對話框中,選擇所需的選項。
下面使用現有的數據上下文,選擇所有文件,以便后面重寫,如下所示。
這里示例 所以我選擇只添加 Register 、 Login 、 LogOut 和 RegisterConfirmation 文件
3.2.2 效果:
生成后,目錄新增變化:
可以發現,在Areas目錄下,生成了Razor Page文件,需要注意的是這不是MVC視圖控制器。
剛剛介紹說了,這是因為在ASP.NET Core 2.1及更高版本提供了ASP.NET Core Identity作為Razor 類庫,不再是之前的2.0的類庫, 因為是基於Razor Page的,
所以找不到原來在2.0版本下的
Controllers(如Account等控制器)這個時候如果你想該頁面或者的代碼,就需要基於基架重寫文件到你的項目中后,再做具體修改。
但是如果你又想實現MVC這種視圖控制器的話,你可以基於Razor Page中的,重寫生成對應的控制器及業務邏輯,來實現視圖控制器這種方式。
四、區別
2.0 版本
看到有人問:.net core mvc模板選個人身份驗證后 Identity區域下Account控制器在哪里?
其實這是因為在ASP.NET Core 2.1及更高版本提供了ASP.NET Core Identity作為Razor 類庫,不再是之前的2.0的類庫, 因為是基於Razor Page的,所以找不到原來在2.0版本下的
Controllers(如Account等控制器)
但是如果你又想實現MVC這種視圖控制器的話,你可以基於Razor Page中的,重寫生成對應的控制器及業務邏輯,來實現視圖控制器這種方式。當然了,你也可以利用2.0版本的項目進行參考重寫你的業務。
4.1 創建項目
基於vs2019, .net core2.0 創建asp.net core web 應用程序。
4.1.1 流程:
1.選擇“文件” > “新建” > “項目”。
2.選擇“ASP.NET Core Web應用程序”。 將項目命名WebIdentityDemoV2.0具有項目下載相同的命名空間。 單擊 “確定”。
3.選擇 ASP.NET Core Web MVC應用程序,然后選擇更改身份驗證。
4.選擇單個用戶帳戶然后單擊確定。
生成的項目 ASP.NET Core Identity 以類庫形式 Razor 提供。
4.1.2 目錄結構:
可以發現, 在我們選擇個人身份認證的時候 Identity被自動添加到項目中,並且生成了
- 賬戶控制器(
AccountController注冊和登陸相關的代碼都在這里) - 登陸注冊頁面(還有其它的 如:確認郵件、訪問受限等等)
- 管理控制器(
ManageController這是給注冊用戶用的,主要有兩個功能,改密碼和雙因子驗證)
已經出現了MVC這種視圖控制器,也可以找到對應的控制器方法了。這也是相比於升級到2.1及更高版本的不同之處。
在2.0版本中的MVC視圖控制器模式而升級到2.1及更高版本后,直接采用了Razor類庫,改成了將控制器寫到了cshtml文件上了。
4.1.3 遷移數據:
找到appsettings.json文件, ConnectionStrings的數據庫連接字符串,默認是連接本地的數據庫,當然了,你也可以改成你指定的數據庫地址。
"ConnectionStrings": {
"DefaultConnection": "Data Source=.;initial catalog=IdentityV2;user id=sa;password=123456;"
},
基於生成的遷移代碼,同步到數據庫
PM> Update-Database
到了這里,我們基本完成了2.0 版本的Identity項目的搭建了,可以就此運行登錄注冊了。
到了這里, 我們也就體驗了Asp.Net Core2.0以及在升級到2.1及更高版本后發生的變化了。
五、擴展
5.1 配置問題
5.1.1 默認配置:
如下是代碼Identity的默認選項配置,服務通過依賴關系注入提供應用程序。
public void ConfigureServices(IServiceCollection services)
{
services.AddDbContext<ApplicationDbContext>(options =>
options.UseSqlServer(
Configuration.GetConnectionString("DefaultConnection")));
//這里需要注意的是 options.SignIn.RequireConfirmedAccount 設置項,缺省設置為true,
//這種情況下,新注冊的用戶需要進行確認才能完成注冊,如果沒有安裝郵件系統,這個步驟無法完成,所以這里改為false。
services.AddDefaultIdentity<IdentityUser>(options => options.SignIn.RequireConfirmedAccount = false)
.AddEntityFrameworkStores<ApplicationDbContext>();
services.AddControllersWithViews();
services.AddRazorPages();
}
通過調用啟用 UseAuthentication 。 UseAuthentication 將身份驗證 中間件 添加到請求管道。
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
app.UseDatabaseErrorPage();
}
else
{
app.UseExceptionHandler("/Error");
app.UseHsts();
}
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapRazorPages();
});
}
除了上面的默認配置選項以后,你也可以根據自身的業務要求,比如有些想要對用戶名做限制,有些需要在密碼做限制等等。
典型模式是調用所有
Add{Service}方法,然后調用所有services.Configure{Service}方法。
5.1.2 自定義配置:
a. 配置用戶名:
services.AddDefaultIdentity<IdentityUser>(options =>
{
options.User = new UserOptions
{
RequireUniqueEmail = true, //要求Email唯一
AllowedUserNameCharacters = "abcdefgABCDEFG" //允許的用戶名字符,默認是 abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789-._@+
};
});
不支持正則表達式,如果需要支持漢字,可能需要添加很多漢字才行。。
b. 配置密碼:
services.AddDefaultIdentity<IdentityUser>(options=>
{
options.Password = new PasswordOptions
{
RequireDigit = true, //要求有數字介於0-9 之間, 默認true
RequiredLength = 8, //要求密碼最小長度, 默認是 6 個字符
RequireLowercase = true, //要求小寫字母, 默認true
RequireNonAlphanumeric = true, //要求特殊字符, 默認true
RequiredUniqueChars = 3, //要求需要密碼中的非重復字符數, 默認1
RequireUppercase = true //要求大寫字母 ,默認true
};
})
c. 鎖定賬戶
services.AddDefaultIdentity<IdentityUser>(options=>
{
options.Lockout = new LockoutOptions
{
AllowedForNewUsers = true, // 新用戶鎖定賬戶, 默認true
DefaultLockoutTimeSpan = TimeSpan.FromHours(1), //鎖定時長,默認是 5 分鍾
MaxFailedAccessAttempts = 3 //登錄錯誤最大嘗試次數,默認 5 次
};
})
d. 數據庫存儲
services.AddDefaultIdentity<IdentityUser>(options=>
{
options.Stores = new StoreOptions
{
MaxLengthForKeys = 128, // 主鍵的最大長度
ProtectPersonalData = true //保護用戶數據,要求實現 IProtectedUserStore 接口
};
})
如果不設置,主鍵則是 max 的字符串長度。
e. 令牌配置
services.AddDefaultIdentity<IdentityUser>(options=>
{
options.Tokens = new TokenOptions
{
AuthenticatorTokenProvider = "MyAuthenticatorTokenProvider", //用於使用驗證器驗證雙重登錄的。
ChangeEmailTokenProvider = "MyChangeEmailTokenProvider", //用於生成電子郵件更改確認電子郵件中使用的令牌的。
ChangePhoneNumberTokenProvider = "MyChangePhoneNumberTokenProvider", //用於生成更改電話號碼時使用的令牌的。
EmailConfirmationTokenProvider = "MyEmailConfirmationTokenProvider", //用於生成帳戶確認電子郵件中使用的令牌的令牌提供程序。
PasswordResetTokenProvider = "MyPasswordResetTokenProvider", //用於生成密碼重置電子郵件中使用的令牌
ProviderMap = new Dictionary<string, TokenProviderDescriptor>(), //用作提供程序名稱的密鑰構造 用戶令牌提供程序 。
AuthenticatorIssuer = "Identity", //認證的消費者
};
})
如何生成令牌,然后用什么方式將令牌發給用戶,請求用戶驗證。
f. 聲明配置
services.AddDefaultIdentity<IdentityUser>(options=>
{
options.ClaimsIdentity = new ClaimsIdentityOptions
{
RoleClaimType = "IdentityRole", // 用於角色聲明的聲明類型。
UserIdClaimType = "IdentityId", // 用於用戶標識符聲明的聲明類型。
SecurityStampClaimType = "SecurityStamp", //用於安全戳聲明的聲明類型。
UserNameClaimType = "IdentityName" //用於用戶名聲明的聲明類型。
};
})
g. 登錄配置:
services.AddDefaultIdentity<IdentityUser>(options=>
{
options.SignIn = new SignInOptions
{
RequireConfirmedEmail = true, //要求激活郵箱., 默認false
RequireConfirmedPhoneNumber = true //要求激活手機號才能登錄,默認false
};
})
在登錄的時候,如果手機號或郵箱沒有激活/確認,則無法登錄。
h. Cookie 設置:
services.ConfigureApplicationCookie(options =>
{
options.AccessDeniedPath = "/Identity/Account/AccessDenied";
options.Cookie.Name = "YourAppCookieName";
options.Cookie.HttpOnly = true;
options.ExpireTimeSpan = TimeSpan.FromMinutes(60);
options.LoginPath = "/Identity/Account/Login";
// ReturnUrlParameter requires
//using Microsoft.AspNetCore.Authentication.Cookies;
options.ReturnUrlParameter = CookieAuthenticationDefaults.ReturnUrlParameter;
options.SlidingExpiration = true;
});
在中配置應用 cookie 程序 Startup.ConfigureServices 。 ConfigureApplication Cookie調用或 后必須調用 AddIdentity``AddDefaultIdentity 。
i. Password Hasher 設置:
services.Configure<PasswordHasherOptions>(option =>
{
option.IterationCount = 12000; //使用 PBKDF2 對密碼進行哈希處理時使用的迭代次數。
});
PasswordHasherOptions 獲取和設置用於密碼哈希的選項。
j. 全局要求對所有用戶進行身份驗證
services.AddAuthorization(options =>
{
options.FallbackPolicy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
});
六、總結
- 本篇簡單介紹了 Asp.Net Core 自帶的 Identity,一個負責對用戶的身份進行認證的組件庫,同時進行了相關的實戰應用體驗。
- 后續會對Identity自定義用戶以及表結構說明。
- 如果有不對的或不理解的地方,希望大家可以多多指正,提出問題,一起討論,不斷學習,共同進步。
- 項目地址