【asp.net core 系列】13 Identity 身份驗證入門

0. 前言

經過前兩篇咱們實現瞭如何在Service層如何訪問數據，以及如何運用簡單的加密算法對數據加密。這一篇咱們將探索如何實現asp.net core的身份驗證。

1. 身份驗證

asp.net core的身份驗證有 JwtBearer和Cookie兩種常見的模式，在這一篇咱們將啓用Cookie做爲身份信息的保存。那麼，咱們如何啓用呢？

在Startup.cs 的ConfigureServices(IServiceCollection services) 方法裏添加以下：

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
                .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
                {
                    Configuration.Bind("CookieSettings",options);
                });

此時能夠啓動一個權限驗證，當用戶訪問須要驗證的頁面或接口時，若是沒有登陸，則會自動跳轉到：

https://localhost:5001/Account/Login?ReturnUrl=XXXX

其中ReturnUrl指向來源頁。

1.1 設置驗證

當咱們在Startup類裏設置啓用了身份驗證後，並非訪問全部接口都會被跳轉到登陸頁面。那麼如何設置訪問的路徑須要身份驗證呢？asp.net core爲咱們提供了一個特性類：

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class AuthorizeAttribute : Attribute, IAuthorizeData
{
    public string Policy { get; set; }
    public string Roles { get; set; }
    public string AuthenticationSchemes { get; set; }
}

能夠看的出，這個特性類容許設置在類、方法上，能夠設置多個，容許子類繼承父類的特性。因此能夠在控制器上設置[Authorize]，當在控制器上設置之後訪問控制器裏全部的Action都會要求驗證身份；也能夠單獨設置在Action上，表示該Action須要驗證身份，控制器裏的其餘方法不須要驗證。

1.2 設置忽略

咱們在開發過程當中，會遇到這樣的一組連接或者頁面：請求地址同屬於一個控制器下，但其中某個地址能夠不用用戶登陸就能夠訪問。一般咱們爲了減小重複代碼以及複用性等方面的考慮，會直接在控制器上設置身份驗證要求，而不是在控制器裏全部的Action上添加驗證要求。

那麼，咱們如何放開其中的某個請求，能夠容許它不用身份驗證。

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]
public class AllowAnonymousAttribute : Attribute, IAllowAnonymous
{
}

仔細觀察，能夠看得出這個特性能夠設置在類、方法上，不容許屢次設置，容許子類繼承父類的特性。

這個特性的使用沒啥可說的，不過須要注意的是，不要與AuthorizeAttribute一塊兒使用。雖然編譯上沒啥問題，但實際上會對程序員的邏輯照成必定程度的誤導。

2.保存身份

有身份驗證，就必然須要保存身份。當咱們從數據庫中或者其餘的三方服務中獲取到用戶信息後，咱們須要將用戶信息保存起來，而不是每次都向用戶或者服務提供方索求信息。

在asp.net core中，Controller類裏有一個屬性：

public HttpContext HttpContext { get; }

HttpContext 提供了一個擴展方法，能夠用來保存用戶信息：

public static Task SignInAsync(this HttpContext context, ClaimsPrincipal principal);

暫時忽略這個方法的返回類型，它接受了一個ClaimsPrincipal類型的參數。咱們來看下這個類的基本狀況吧：

public class ClaimsPrincipal : IPrincipal
{

    public ClaimsPrincipal();
    public ClaimsPrincipal(IEnumerable<ClaimsIdentity> identities);
    public ClaimsPrincipal(BinaryReader reader);
    public ClaimsPrincipal(IIdentity identity);
    public ClaimsPrincipal(IPrincipal principal);

    public static ClaimsPrincipal Current { get; }
    public static Func<ClaimsPrincipal> ClaimsPrincipalSelector { get; set; }
    public static Func<IEnumerable<ClaimsIdentity>, ClaimsIdentity> PrimaryIdentitySelector { get; set; }
    public virtual IIdentity Identity { get; }
    public virtual IEnumerable<ClaimsIdentity> Identities { get; }
    public virtual IEnumerable<Claim> Claims { get; }
    public virtual void AddIdentities(IEnumerable<ClaimsIdentity> identities);
    public virtual void AddIdentity(ClaimsIdentity identity);
    public virtual ClaimsPrincipal Clone();
    public virtual IEnumerable<Claim> FindAll(Predicate<Claim> match);
    public virtual IEnumerable<Claim> FindAll(string type);
    public virtual Claim FindFirst(string type);
    public virtual Claim FindFirst(Predicate<Claim> match);
    public virtual bool HasClaim(Predicate<Claim> match);
    public virtual bool HasClaim(string type, string value);
    public virtual bool IsInRole(string role);
    public virtual void WriteTo(BinaryWriter writer);
}

方法和屬性有點多，那麼咱們重點關注一下構造函數以及能夠AddXXX開頭的方法。

這裏有一個竅門，對於一個陌生的類來講，構造函數對於類自己是個很重要的特徵，咱們能夠經過構造函數分析出這個類須要哪些基礎數據。

因此，經過簡單的分析，咱們須要繼續瞭解這兩個類：

public class ClaimsIdentity : IIdentity
{
    public ClaimsIdentity();
    public ClaimsIdentity(string authenticationType);
    public ClaimsIdentity(IIdentity identity);
    public ClaimsIdentity(IEnumerable<Claim> claims);
    public ClaimsIdentity(IEnumerable<Claim> claims, string authenticationType);
    public ClaimsIdentity(IIdentity identity, IEnumerable<Claim> claims);
    public ClaimsIdentity(string authenticationType, string nameType, string roleType);
    public ClaimsIdentity(IEnumerable<Claim> claims, string authenticationType, string nameType, string roleType);
    public ClaimsIdentity(IIdentity identity, IEnumerable<Claim> claims, string authenticationType, string nameType, string roleType);

}

public class Claim
{
    public Claim(BinaryReader reader);
    public Claim(BinaryReader reader, ClaimsIdentity subject);

    public Claim(string type, string value);
    public Claim(string type, string value, string valueType);
    public Claim(string type, string value, string valueType, string issuer);

    public Claim(string type, string value, string valueType, string issuer, string originalIssuer);
    public Claim(string type, string value, string valueType, string issuer, string originalIssuer, ClaimsIdentity subject);
    protected Claim(Claim other);
    protected Claim(Claim other, ClaimsIdentity subject);
    public string Type { get; }
    public ClaimsIdentity Subject { get; }
    public IDictionary<string, string> Properties { get; }
    public string OriginalIssuer { get; }
    public string Issuer { get; }
    public string ValueType { get; }
    public string Value { get; }
    protected virtual byte[] CustomSerializationData { get; }
    public virtual Claim Clone();
    public virtual Claim Clone(ClaimsIdentity identity);
    public override string ToString();
    public virtual void WriteTo(BinaryWriter writer);
    protected virtual void WriteTo(BinaryWriter writer, byte[] userData);
}

因此，看到這裏就會發現，咱們能夠經過如下方式保存信息：

List<Claim> claims = null;
var identity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme);

HttpContext.SignInAsync( CookieAuthenticationDefaults.AuthenticationScheme,new ClaimsPrincipal(identity));

這時候，數據就能夠保存在Cookie裏了，那麼如何在控制器中獲取到數據呢：

public ClaimsPrincipal User { get; }

在控制器中，提供了這樣一個屬性，固然若是想要正確獲取到值的話，須要在 Startup.cs類中的添加以下配置：

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    // ……省略其餘配置
    app.UseAuthorization();
    app.UseAuthentication();
    // ……省略其餘配置
}

3. 總結

在這一篇中，簡單介紹了asp.net core的identity，下一篇將從實際上帶領你們設置不同的identity以及Authorize驗證。