長(zhǎng)話短說：上文我們講了 ASP.NET Core 基于聲明的訪問控制到底是什么鬼？
今天我們乘勝追擊：聊一聊ASP.NET Core 中的身份驗(yàn)證。

身份驗(yàn)證是確定用戶身份的過程。 授權(quán)是確定用戶是否有權(quán)訪問資源的過程。

1. 萬變不離其宗

顯而易見，一個(gè)常規(guī)的身份認(rèn)證用例包括兩部分：
① 對(duì)用戶進(jìn)行身份驗(yàn)證
② 在未經(jīng)身份驗(yàn)證的用戶試圖訪問受限資源時(shí)作出反應(yīng)

已注冊(cè)的身份驗(yàn)證處理程序及其配置選項(xiàng)被稱為“方案”，方案可用作一種機(jī)制，供用戶參考相關(guān)處理程序的身份驗(yàn)證、挑戰(zhàn)和禁止行為。

我們口頭上常說的：
基于cookie認(rèn)證方案，若認(rèn)證成功，go on，若認(rèn)證失敗則跳轉(zhuǎn)回登錄頁面；
基于基本身份認(rèn)證（BA）方案，若認(rèn)證成功，go on，若認(rèn)證失敗則給瀏覽器返回WWW-Authenticate標(biāo)頭， 瀏覽器會(huì)再次彈出認(rèn)證窗口。

2. ASP.NET Core認(rèn)證原理

在 ASP.NET Core 中，身份驗(yàn)證由IAuthenticationService負(fù)責(zé)，身份驗(yàn)證服務(wù)會(huì)調(diào)用已注冊(cè)的身份驗(yàn)證處理程序來完成與身份驗(yàn)證相關(guān)的操作， 整個(gè)驗(yàn)證過程由認(rèn)證中間件來串聯(lián)。

其中有幾個(gè)關(guān)鍵步驟

1、認(rèn)證處理程序
可結(jié)合方案Scheme中的配置項(xiàng)AuthenticationSchemeOptions編寫認(rèn)證處理程序。

基于Cookie的認(rèn)證方案可在Options項(xiàng)中可指定登錄地址，
基于基本身份的認(rèn)證方案可在Options項(xiàng)中指定用戶名/密碼;

2、身份認(rèn)證程序繼承自AuthenticationHandler類或IAuthenticationHandler接口。

核心認(rèn)證函數(shù)可落地基于聲明的訪問控制，生成綁定了ClaimsPrincipal、Scheme的AuthenticationTicket對(duì)象； 無論認(rèn)證成功/失敗，函數(shù)返回AuthenticateResult對(duì)象。

挑戰(zhàn)(對(duì)未認(rèn)證的用戶做出的反應(yīng))： 例如返回登錄頁面

禁止(對(duì)已認(rèn)證，但對(duì)特定資源無權(quán)訪問做出的反應(yīng)) ： 例如返回提示字符串

以上均為服務(wù)注冊(cè)過程

收到請(qǐng)求，認(rèn)證中間件使用IAuthenticationService對(duì)HttpContext按照要求的scheme進(jìn)行認(rèn)證， 實(shí)際內(nèi)部會(huì)調(diào)用第2步編寫的認(rèn)證處理程序。

以上認(rèn)證原理，之前有一個(gè)近身實(shí)戰(zhàn)： ASP.NET Core 實(shí)現(xiàn)基本身份驗(yàn)證。
源代碼如下：http://www.dbjr.com.cn/article/196974.htm

3. ASP.NET Core獲取當(dāng)前用戶

基于聲明的訪問控制, 我們會(huì)在HttpContext.User屬性存儲(chǔ)身份信息。

 var claims = new[] {
        new Claim(ClaimTypes.NameIdentifier,username),
        new Claim(ClaimTypes.Name,username),
      };
 var identity = new ClaimsIdentity(claims, Scheme.Name);
 var principal = new ClaimsPrincipal(identity);
 Context.User = principal;

Web應(yīng)用程序中獲取當(dāng)前登錄用戶， 有兩種代碼場(chǎng)合：

3.1 在控制器中獲取當(dāng)前登錄用戶

控制器是處理請(qǐng)求的 一等公民，天生自帶HttpContext。
直接通過ControllerBase基類中包含的HttpContext屬性，獲取User對(duì)象。

實(shí)際上Razor Page、Razor View、Middleware均包含HttpContext屬性/參數(shù)， 可直接使用。

3.2 在服務(wù)中獲取當(dāng)前登錄用戶

這個(gè)時(shí)候，服務(wù)是作為請(qǐng)求處理中的一個(gè)環(huán)節(jié)，并沒有直接可用的HttpContext。
ASP.NET Core 提供了IHttpContextAccessor類能夠注入此次請(qǐng)求中的HttpContext對(duì)象（依賴注入框架的作用）。

// 下面的用戶實(shí)體類，需要獲取當(dāng)前登錄用戶，借助IHttpContextAccessor注入httpContext
public class UserEntityService : IUserEntityService
{
  private IHttpContextAccessor _accessor;
  private readonly IMongoCollection<UserProfile> _users;

  public UserEntityService(IHttpContextAccessor accessor, IDefaultMongoDatabaseProvider databaseProvider)
  {
    _accessor = accessor;
    _users = databaseProvider.GetCollection<UserProfile>(CollectionNames.UserProfiles);
  }

  public Task<UserProfile> GetCurrentUserAsync()
  {
    var rawUser = this._accessor.HttpContext.User();
    if (rawUser == null)
    {
     return null;
    }
    var filter = Builders<UserProfile>.Filter.Eq("UserId", rawUser.UserId);
   return _users.Find(filter).FirstOrDefaultAsync();
  }
}

我們不需要區(qū)分以上代碼場(chǎng)合，在Controller或者Application 服務(wù)中使用ICurrentUser接口拿到登錄用戶。

旁白

個(gè)人認(rèn)為，ASP.NET Core身份認(rèn)證的源代碼, 基于現(xiàn)實(shí)認(rèn)知提煉而來，讓我們驚嘆于框架代碼的的簡(jiǎn)潔精煉、層次分明。

基于聲明的訪問控制已成標(biāo)準(zhǔn)，ASP.NET Core/abp vnext 均提供了完善的支持。

到此這篇關(guān)于深入解讀ASP.NET Core身份認(rèn)證過程實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)ASP.NET Core 身份認(rèn)證內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論