前言
在上一章 学学 dotnet core 中的身份验证和授权-1-概念 中,我们大致明白了身份验证和授权两者的关系。那么在本文中,我们将使用 cookie 来做一个简单的身份验证和授权。
本文中我使用的是 .net core6,并用 MiniApi 的方式编写。
下发凭证
在上一章中,我们得知客户端必须先从服务器上得到凭证,才能够这个凭证去进行身份验证和授权。所以我们的第一步就是:从服务器得到凭证。
这种下发凭证的接口一般是登录接口,所以,我们来弄一个登录的接口吧。
在 MiniApi 中写一个 Login 接口:
|
1 2 3 4 5 6 |
app.MapPost("/login", ( /* 省略登录参数 */ ) => { // 省略登录步骤 // 假设登录成功后 return Results.Ok(); }); |
请注意,在本文中重点是介绍身份验证和授权,所以像上面的登录接口,我会省略掉登录的代码,着重在登录成功后如何下发凭证上。
在登录成功后,我们便可以将证明当前用户身份的声明,下发到客户端。所以我们要先有声明,然后再使用 cookie 的方式来下发它。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
app.MapPost("/login", async (HttpContext context /* 省略登录参数 */) => { // 省略登录步骤,假设登录成功后 // 定义声明 var claims = new List<Claim> { new Claim(ClaimTypes.Name, "张三"), new Claim("核酸", "24") }; var claimsIdentity = new ClaimsIdentity( claims, CookieAuthenticationDefaults.AuthenticationScheme); var claimsPrincipal = new ClaimsPrincipal(claimsIdentity); // 下发 await context.SignInAsync( CookieAuthenticationDefaults.AuthenticationScheme, claimsPrincipal); return Results.Ok(); }); |
如上面代码,定义声明,其实就是写一个声明列表,将要用的声明都装进去。在下发的时候,我们是下发一个证件包。就像我们上一章讲到的,多个条目组合成一个证件,多个证件组合成一个证件包。
有了证件包后,要怎么下发凭证呢?通过调用 SignInAsync 方法。这个方法在 HttpContext 中,所以要先注入 HttpContext 才能使用。在我们的例子中,我们给 SignInAsync 方法传递了两个参数,一个是你的身份验证策略名,一个是你要下发的证件包。
但是我们还没有定义任何身份验证策略呢,如果现在直接去调用的话,你会发现程序是会报错的。所以我们要定义一个身份验证策略,在下发凭证的时候,就使用这个策略下发。
定义身份验证策略
net core 中有一些内置的身份验证策略,cookie 就是其中之一。我们使用起来也非常简单:
|
1 2 3 4 5 |
builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme) .AddCookie(); // 要在 Build 之前加 var app = builder.Build(); |
你看就这么简单两句话,重点是 AddAuthentication 方法中的参数是一个策略名,你可以用任何字符串,但是要跟我们在下发时使用的策略名是一样的。在这里是因为有这么个常量可以用。然后后面跟着的 AddCookie() 方法,表示来使用 cookie 来进行身份验证。
如果你要对 cookie 有其他的设置,比如设定过期时间,就可以在 AddCookie 的参数里进行设置,如下:
|
1 2 3 4 5 6 7 |
builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme) .AddCookie(options => { options.ExpireTimeSpan = TimeSpan.FromDays(1); options.SlidingExpiration = true; }); |
还有很多设置,课后慢慢研究。
现在我们再来运行项目,然后请求这个登录接口 /login,成功的话响应会返回 cookie:
我们的凭证就存放在这个 cookie 当中,你看,是加密的。客户端拿到了凭证了。
拿到了凭证还不够,我们要在请求时携带上凭证,经过身份验证程序,得出凭证里的声明。这时就需要使用到我们的身份验证中间件。
身份验证中间件
我们在适当的地方添加身份验证中间件 UseAuthentication(),要在 Build() 之后,UseAuthorization() 之前。
|
1 2 3 4 5 6 7 |
var app = builder.Build(); // Build() 之后 // 添加身份验证中间件 app.UseAuthentication(); // UseAuthorization() 之前 app.UseAuthorization(); |
UseAuthentication() 这个中间件将会对我们的请求进行处理,并解析出里面的声明。
加上这个中间件后,我们再添加一个登出接口,注入 HttpContext:
|
1 2 3 4 5 6 |
app.MapGet("/logout", (HttpContext context) => { var user = context.User; return Results.Ok(); }); |
携带上凭证请求这个接口,你就可以在 HttpContext 的 User 字段中得到声明。
调试如下:
可以看到正是我们在登录时装进去的声明。
声明拿到了,我们要怎么使用这个声明进行授权处理呢?
基于声明的授权策略
我们要告诉授权程序要怎么判断,就是写一个授权策略。
在 Build() 之前,添加如下服务:
|
1 2 3 4 5 6 7 8 9 10 11 |
builder.Services.AddAuthorization(options => { options.AddPolicy("Need24", policy => { policy.RequireAssertion(context => { return true; }); }); }); |
我们通过 AddAuthorization 添加授权,然后通过参数 options 添加授权策略。在上面的代码中,我们通过 options.AddPolicy 添加了一个名为 "Need24" 的策略。该策略的具体内容是什么呢?在该策略的参数中,我们通过 policy.RequireAssertion 方法指定该策略的内容,这个方法接收一个函数,这个函数通过返回 true 或 false 来指示授权是否通过。
在上面的代码中,直接返回了 true。但是我们是要自己定策略的,我们要规定只有叫张三的,持有 24 核酸的才能通过。我们知道这两个条件可以在声明中获得,那么把代码改成这样:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
builder.Services.AddAuthorization(options => { options.AddPolicy("Need24", policy => { policy.RequireAssertion(context => { // 获取声明 var claims = context.User.Claims; // 判断声明 if (claims.FirstOrDefault(t => t.Type == ClaimTypes.Name)?.Value == "张三" && claims.FirstOrDefault(t => t.Type == "核酸")?.Value == "24") { return true; } return false; }); }); }); |
当然啦我们不一定要使用 RequireAssertion 函数,还有其他的函数来根据情况使用,课后慢慢研究。
到了这里,我们就添加了一个名为 "Need24" 的授权策略,接下来,我们要指示这个策略要用在哪个接口上。
我们要用在登出接口 /logout 上,只需要在它的方法前加上 [Authorize("Need24")] 即可,如下:
|
1 2 3 4 5 6 |
app.MapGet("/logout", [Authorize("Need24")] (HttpContext context) => { var user = context.User; return Results.Ok(); }); |
如此,这个接口便会使用名为 "Need24" 的授权策略。
最后,添加 UseAuthorization() 中间件,千万要注意,授权中间件要添加在身份验证中间件之后。
|
1 2 3 |
app.UseAuthentication(); app.UseAuthorization(); |
测试
到这里,一整个 cookie 身份验证和授权的流程就搭完了,我们启动项目,清楚客户端的 cookie,在没有携带 cookie 的情况下去请求 /logout 接口。因为没有携带 cookie,也就没有携带凭证,而 /logout 接口是需要授权的,所以,意料之中的这个接口是请求不成功的。
由于是 Get 请求,所以我们可以直接在浏览器中导航到 /logout 来查看情况。
但是请求后,你应该会很奇怪地来到这个页面:
为什么会是 404 呢?再看地址栏,变成了 /Account/Login?ReturnUrl=%2Flogout,这又是为什么?
这是因为 cookie 的授权,如果不通过,会重定向到一个地址,这个地址默认是 /Account/Login。我们是可以在 AddCookie() 中修改这个地址的。因为我们没有 /Account/Login 这个接口,所以是 404。这也说明了我们的授权策略起效了。
接下来,我们先请求登录接口,该接口会返回包含我们声明的 cookie。然后我们再携带上 cookie 请求登出接口,此时应该是返回了 200 的。这说明我们的身份验证和授权生效了。
总结
本文中指示简单介绍了 cookie 的身份验证和授权的用法。使用 cookie,在实际情况中还会遇到很多问题,如:跨域的情况。所以 cookie 使用得也并不多。
在下一篇中,我将介绍常用的 JWT 验证。