李天衡,甲组词,eread7.0
在 http:// asp.net core 中使用cookie中间件
asp.net core 提供了cookie中间件来序列化用户主题到一个加密的cookie中并且在后来的请求中校验这个cookie,再现用户并且分配到httpcontext对象的user属性中。如果你想提供自己的登录方式和用户数据你可以使用cookie中间件来实现独立的功能。
添加和配置
第一步是增加cookie中间件到你的应用中。首先使用nuget增加microsoft.aspnetcore.authentication.cookies 程序包。然后添加下面的几行代码到startup.cs文件的configure方法中,且要在app.usemvc()之前。
我要评论
app.usecookieauthentication(new cookieauthenticationoptions()
{
authenticationscheme = "mycookiemiddlewareinstance",
loginpath = new pathstring("/account/unauthorized/"),
accessdeniedpath = new pathstring("/account/forbidden/"),
automaticauthenticate = true,
automaticchallenge = true
});
上面的代码片段配置了一下几个选项;
其他选项包括设置中间件所创建的声明的发行者,中间件存储的cookie名称,cookie的域和cookie上的各种安全属性。默认情况下cookie中间件将使用适当的安全选项,设置httponly避免cookie在客户端被javascript操作。当请求方式为https时限制cookie的https操作。
创建cookie
创建cookie保存自己的信息,必须要初始化一个claimsprincipal(类型)来序列化和保存你想保存的用户信息到cookie中。每一次的方法调用都会在你的controller(控制器)中有一个合适的claimsprincipal对象。
上面的代码将会创建一个加密的cookie并且增加到当前的请求响应中。authenticationscheme明确规定在配置期间
退出
退出当前用户的登录,删除登录的cookie信息,可以在控制器中调用下面的方法。
响应后端的变化
警告
一旦cookie创建就会成为身份单一认证的来源,即使在后台系统已经不可用,中间件也是不知道的,并且始终保持登录直到cookie失效。
cookie认证中间件在他的选项类中提供了一系列的事件,其中 validateasync() 事件可以用来中断和重写cookie认证的验证方法。
考虑到后台用户的数据库中可能会有‘最后的修改时间'这一列,为了在数据库修改之后你可以废止当前的cookie,第一当创建这个cookie时添加一个最后修改的声明并包含当前的值,当数据库中的数据改变时,这个值也同时更新。
实现一个validateasync()的事件重写你必须写一个具有如下签名的方法。
task validateasync(cookievalidateprincipalcontext context);
http:// asp.net core 认证在securitystampvalidator中实现了这个验证。下面是一个类似的例子:
public static class lastchangedvalidator
{
public static async task validateasync(cookievalidateprincipalcontext context)
{
// pull database from registered di services.
var userrepository = context.httpcontext.requestservices.getrequiredservice<iuserrepository>();
var userprincipal = context.principal;
// look for the last changed claim.
string lastchanged;
lastchanged = (from c in userprincipal.claims
where c.type == "lastupdated"
select c.value).firstordefault();
if (string.isnullorempty(lastchanged) ||
!userrepository.validatelastchanged(userprincipal, lastchanged))
{
context.rejectprincipal();
await context.httpcontext.authentication.signoutasync("mycookiemiddlewareinstance");
}
}
}
这些要在cookie中间件配置时进行注册
app.usecookieauthentication(options =>
{
options.events = new cookieauthenticationevents
{
// set other options
onvalidateprincipal = lastchangedvalidator.validateasync
};
});
如果你想非破坏性的更新用户主体,例如,name更新了,要想以不影响安全的方式你可以调用 context.replaceprincipal() 并且设置 context.shouldrenew 为 true 。
控制cookie选项
cookieauthenticationoptions配备了各种各样的配置选项是你能够很好的调节创建的cookie。
持续性cookie和绝对过期时间
您可能希望通过浏览器会话使cookie过期。也许你也想通过绝对过期时间和认证来结束cookie,那么你可以在登录认证和创建cookie时使用httpcontext.authentication.signinasync方法中的authenticationproperties参数类实现。authenticationproperties类在microsoft.aspnetcore.http.authentication命名空间中。
例如
await httpcontext.authentication.signinasync(
"mycookiemiddlewareinstance",
principal,
new authenticationproperties
{
ispersistent = true
});
这个代码片段将会实现创建一个认证和相应的cookie来实现即时浏览器关闭cookie也能继续保留。任何在cookie属性中的过期时间的设置都将会保存下来。如果浏览器关闭时cookie也过期了那么在重新启动浏览器是cookie将会别清理。
await httpcontext.authentication.signinasync(
"mycookiemiddlewareinstance",
principal,
new authenticationproperties
{
expiresutc = datetime.utcnow.addminutes(20)
});
这段代码将创建一个身份认证和相应的cookie且将持续20分钟。 任何在cookie options中配置的动态选项都会被忽略。 expiresutc 和 ispersistent 这两个属性是相互独立的。
其实上面bb了那么多,都没用! 不如来个demo
// 1. 在startup.cs的configure方法中加上
app.usecookieauthentication(new cookieauthenticationoptions
{
authenticationscheme = "userauth", // cookie 验证方案名称,在写cookie时会用到。
automaticauthenticate = true, // 是否自动启用验证,如果不启用,则即便客服端传输了cookie信息,服务端也不会主动解析。除了明确配置了 [authorize(activeauthenticationschemes = "上面的方案名")] 属性的地方,才会解析,此功能一般用在需要在同一应用中启用多种验证方案的时候。比如分area.
loginpath = "/user/index" // 登录页
});
// 2. 新建usercontroller
// 3. 创建一个测试登录的方法(这里为了方便测是我用的是get方法,方便传参请求)
public iactionresult login(int userid, string username)
{
writeuser(userid, username);
return content("write");
}
private async void writeuser(int userid, string username)
{
var identity = new claimsidentity("forms"); // 指定身份认证类型
identity.addclaim(new claim(claimtypes.sid, userid.tostring())); // 用户id
identity.addclaim(new claim(claimtypes.name, username)); // 用户名称
var principal = new claimsprincipal(identity);
await httpcontext.authentication.signinasync("userauth", principal, new authenticationproperties { ispersistent = true , expiresutc = datetime.utcnow.addminutes(20) }); //过期时间20分钟
}
// 4. 创建一个退出登录的方法
public async task<actionresult> logout()
{
await httpcontext.authentication.signoutasync("userauth"); // startup.cs中配置的验证方案名
return redirecttoaction("user", "index");
}
// 5. 创建一个获取cookie用户信息的方法方便调用
private int getuserid()
{
//var username = user.identity.name; //获取登录时存储的用户名称
var userid = user.findfirst(claimtypes.sid).value; // 获取登录时存储的id
if (string.isnullorempty(userid))
{
return 0;
}
else
{
return int.parse(userid);
}
}
// 或者写一个测试action
public jsonresult checklogin()
{
var username = user.identity.name; //获取登录时存储的用户名称
var userid = user.findfirst(claimtypes.sid).value; // 获取登录时存储的id
return json({userid:userid,username:username});
}
// 6. 以上是加密的方式如果直接写好像也是可以的
httpcontext.response.cookies.append("key", "value");
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持移动技术网。
如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复
Blazor server side 自家的一些开源的, 实用型项目的进度之 CEF客户端
.NET IoC模式依赖反转(DIP)、控制反转(Ioc)、依赖注入(DI)
vue+.netcore可支持业务代码扩展的开发框架 VOL.Vue 2.0版本发布
网友评论