• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    公众号

《ASP.NET Core 与 RESTful API 开发实战》-- (第8章)-- 读书笔记(中) ...

原作者: [db:作者] 来自: [db:来源] 收藏 邀请

第 8 章 认证和安全

8.2 ASP.NET Core Identity

Identity 是 ASP.NET Core 中提供的对用户和角色等信息进行存储与管理的系统

Identity 由3层构成,最底层为 Store 层,即存储层,包含 IUserStore 接口与 IRoleStore 接口

IUserStore 接口定义如下:

namespace Microsoft.AspNetCore.Identity
{
  public interface IUserStore<TUser> : IDisposable where TUser : class
  {
    Task<string> GetUserIdAsync(TUser user, CancellationToken cancellationToken);

    Task<string> GetUserNameAsync(TUser user, CancellationToken cancellationToken);

    Task SetUserNameAsync(TUser user, string userName, CancellationToken cancellationToken);

    Task<string> GetNormalizedUserNameAsync(TUser user, CancellationToken cancellationToken);

    Task SetNormalizedUserNameAsync(
      TUser user,
      string normalizedName,
      CancellationToken cancellationToken);

    Task<IdentityResult> CreateAsync(
      TUser user,
      CancellationToken cancellationToken);

    Task<IdentityResult> UpdateAsync(
      TUser user,
      CancellationToken cancellationToken);

    Task<IdentityResult> DeleteAsync(
      TUser user,
      CancellationToken cancellationToken);

    Task<TUser> FindByIdAsync(string userId, CancellationToken cancellationToken);

    Task<TUser> FindByNameAsync(string normalizedUserName, CancellationToken cancellationToken);
  }
}

两个接口定义极为类似,分别用来管理用户与角色,在它们的定义中均包含了对各自的泛型参数 TUser 和 TRole 的查找、创建、更新、删除等数据读取与存储操作

对于这两个接口的实现将决定用户与角色数据是如何存储的,比如存储在数据库中或者文件中,甚至存储在内存中

在 Microsoft.AspNetCore.Identity 中定义了两种形式的 UserStoreBase 抽象类,它们均实现了 IUserStore

public abstract class UserStoreBase<TUser, TKey, TUserClaim, TUserLogin, TUserToken> : IUserLoginStore<TUser>, IUserStore<TUser>, IDisposable, IUserClaimStore<TUser>, IUserPasswordStore<TUser>, IUserSecurityStampStore<TUser>, IUserEmailStore<TUser>, IUserLockoutStore<TUser>, IUserPhoneNumberStore<TUser>, IQueryableUserStore<TUser>, IUserTwoFactorStore<TUser>, IUserAuthenticationTokenStore<TUser>, IUserAuthenticatorKeyStore<TUser>, IUserTwoFactorRecoveryCodeStore<TUser>
    where TUser : IdentityUser<TKey>
    where TKey : IEquatable<TKey>
    where TUserClaim : IdentityUserClaim<TKey>, new()
    where TUserLogin : IdentityUserLogin<TKey>, new()
    where TUserToken : IdentityUserToken<TKey>, new()
{
    。。。
}

public abstract class UserStoreBase<TUser, TRole, TKey, TUserClaim, TUserRole, TUserLogin, TUserToken, TRoleClaim> :
        UserStoreBase<TUser, TKey, TUserClaim, TUserLogin, TUserToken>,
        IUserRoleStore<TUser>
        where TUser : IdentityUser<TKey>
        where TRole : IdentityRole<TKey> 
        where TKey : IEquatable<TKey>
        where TUserClaim : IdentityUserClaim<TKey>, new()
        where TUserRole : IdentityUserRole<TKey>, new()
        where TUserLogin : IdentityUserLogin<TKey>, new()
        where TUserToken : IdentityUserToken<TKey>, new()
        where TRoleClaim : IdentityRoleClaim<TKey>, new()
{
    。。。
}

第一种仅处理对用户的操作,第二种处理对用户与角色的操作

Identity 的第二层为 Managers 层,它包括 UserManager 与 RoleManager 两个类,分别用于处理与用户和角色相关的业务操作

UserManager 的构造函数如下:

public class UserManager<TUser> : IDisposable where TUser : class
{
    public UserManager(
      IUserStore<TUser> store,// 实现对用户的存储与读取操作
      IOptions<IdentityOptions> optionsAccessor,// 访问在程序中添加Identity服务时的IdentityOptions配置
      IPasswordHasher<TUser> passwordHasher,// 用于创建密码散列值以及验证密码
      IEnumerable<IUserValidator<TUser>> userValidators,// 验证用户的规则集合
      IEnumerable<IPasswordValidator<TUser>> passwordValidators,// 验证密码的规则集合
      ILookupNormalizer keyNormalizer,// 用于对用户名进行规范化,从而便于查询
      IdentityErrorDescriber errors,// 用于提供错误信息
      IServiceProvider services,// 用于获取需要的依赖
      ILogger<UserManager<TUser>> logger)// 用于记录日志
      {
          。。。
      }
}

Identity 的最上层,即 Extensions 层,提供了一些辅助类(如 SignInManager 类),它包含了一系列与登录相关的方法

使用 Identity

由于用户和角色等数据均存储在数据表中,因此需要创建一个 EF Core 迁移,并通过该迁移在数据库中创建与 Identity 相关的数据表

namespace Library.API.Entities
{
    public class User : IdentityUser
    {
        public DateTimeOffset BirthDate { get; set; }
    }
}

namespace Library.API.Entities
{
    public class Role : IdentityRole
    {
        
    }
}

接下来,修改 LibraryDbContext,使其派生自 IdentityDbContext<TUser, TRole, TKey> 类,TKey 类型参数是用户表与角色表主键字段的类型

public class LibraryDbContext : IdentityDbContext<User, Role, string>
{
    。。。
}

需要添加 nuget 包:Microsoft.AspNetCore.Identity.EntityFrameworkCore

接下来,在 startup 中添加 Identity 服务

services.AddIdentity<User, Role>()
.AddEntityFrameworkStores<LibraryDbContext>();

AddIdentity 方法会向容器添加 UserManager、RoleManager,以及它们所依赖的服务,并且会添加 Identity 用到的 Cookie 认证

AddEntityFrameworkStores 方法会将 EF Core 中对 IUserStore 接口和 IroleStore 接口的实现添加到容器中

添加 Identity 服务后,还应修改添加 DbContext 服务的代码为

services.AddDbContext<LibraryDbContext>(
config => config.UseSqlServer(Configuration.GetConnectionString("DefaultConnection"),
    optionBuilder => optionBuilder.MigrationsAssembly(typeof(Startup).Assembly.GetName().Name)));

MigrationsAssembly 方法为当前 DbContext 设置其迁移所在的程序集名称,这是由于 DbContext 与为其创建的迁移并不在同一个程序集中

接着,运行以下命令

Add-Migration AddIdentity
Update-Database

上述命令会创建一个名为 AddIdentity 的 EF Core 迁移,该迁移包含了创建与 Identity 相关的数据表操作,并将其修改应用到数据库中

接下来,在 AuthenticateController 中添加创建用户的方法,并修改原来对用户信息验证的逻辑

首先创建 RegisterUser 类,在创建用户时,请求中的信息将会反序列化为此类型

namespace Library.API.Models
{
    public class RegisterUser
    {
        [Required, MinLength(4)]
        public string UserName { get; set; }

        [EmailAddress]
        public string Email { get; set; }

        [MinLength(6)]
        public string Password { get; set; }

        public DateTimeOffset BirthDate { get; set; }
    }
}

然后,在 AuthenticateController 中添加 AddUserAsync 方法,用于创建用户

public class AuthenticateController : ControllerBase
{
    public IConfiguration Configuration { get; set; }
    public RoleManager<Role> RoleManager { get; set; }
    public UserManager<User> UserManager { get; set; }

    public AuthenticateController(IConfiguration configuration, RoleManager<Role> roleManager, UserManager<User> userManager)
    {
        Configuration = configuration;
        RoleManager = roleManager;
        UserManager = userManager;
    }

    [HttpPost("register", Name = nameof(AddUserAsync))]
    public async Task<ActionResult> AddUserAsync(RegisterUser registerUser)
    {
        var user = new User
        {
            UserName = registerUser.UserName,
            Email = registerUser.Email,
            BirthDate = registerUser.BirthDate
        };

        IdentityResult result = await UserManager.CreateAsync(user, registerUser.Password);
        if (result.Succeeded)
        {
            return Ok();
        }
        else
        {
            ModelState.AddModelError("Error", result.Errors.FirstOrDefault()?.Description);
            return BadRequest(ModelState);
        }
    }
    
    。。。
}

接着添加一个根据用户信息生成 Bearer Token 的方法

[HttpPost("token2", Name = nameof(GenerateTokenAsync))]
public async Task<IActionResult> GenerateTokenAsync(LoginUser loginUser)
{
    var user = await UserManager.FindByEmailAsync(loginUser.UserName);
    if (user == null)
    {
        return Unauthorized();
    }

    var result = UserManager.PasswordHasher.VerifyHashedPassword(user, user.PasswordHash, loginUser.Password);
    if (result != PasswordVerificationResult.Success)
    {
        return Unauthorized();
    }

    var userClaims = await UserManager.GetClaimsAsync(user);
    var userRoles = await UserManager.GetRolesAsync(user);
    foreach (var roleItem in userRoles)
    {
        userClaims.Add(new Claim(ClaimTypes.Role, roleItem));
    }

    var claims = new List<Claim>
    {
        new Claim(JwtRegisteredClaimNames.Sub, user.UserName),
        new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
        new Claim(JwtRegisteredClaimNames.Email, user.Email)
    };

    claims.AddRange(userClaims);

    // 此处为生成token代码,与GenerateToken方法中的内容相同
    if (loginUser.UserName != "demouser" || loginUser.Password != "demopassword")
    {
        return Unauthorized();
    }

    //var claims = new List<Claim>
    //{
    //    new Claim(JwtRegisteredClaimNames.Sub,loginUser.UserName)
    //};

    var tokenConfigSection = Configuration.GetSection("Security:Token");
    var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(tokenConfigSection["Key"]));
    var signCredential = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

    var jwtToken = new JwtSecurityToken(
        issuer: tokenConfigSection["Issuer"],
        audience: tokenConfigSection["Audience"],
        claims: claims,
        expires: DateTime.Now.AddMinutes(3),// 由于 JWT 不支持销毁以及撤回功能,因此在设置它的有效时间时,应该设置一个较短的时间
        signingCredentials: signCredential);

    return Ok(new
    {
        token = new JwtSecurityTokenHandler().WriteToken(jwtToken),
        expiration = TimeZoneInfo.ConvertTimeFromUtc(jwtToken.ValidTo, TimeZoneInfo.Local)
    });
}

在上述方法中,首先验证用户信息是否存在以及用户信息是否正确,如果通过验证,则获取该用户相关的 Claim 以及角色,这些信息最终都会包含在生成的 Token 中

运行程序,注册用户,获取用户信息后请求 token2

接下来介绍授权及其实现

通过 UserManager 类提供的方法可以将用户添加到角色中,然而在这之前,需要先使用 RoleManager 创建相应的角色

private async Task AddUserToRoleAsync(User user, string roleName)
{
    if (user == null || string.IsNullOrWhiteSpace(roleName))
    {
        return;
    }

    bool isRoleExist = await RoleManager.RoleExistsAsync(roleName);
    if (!isRoleExist)
    {
        await RoleManager.CreateAsync(new Role {Name = roleName});
    }
    else
    {
        if (await UserManager.IsInRoleAsync(user, roleName))
        {
            return;
        }
    }

    await UserManager.AddToRoleAsync(user, roleName);
}

当创建用户或管理用户信息时,调用上述方法即可将用户添加到指定的角色中

await AddUserToRoleAsync(user, "Administrator");

当把用户添加到某一角色中时,如果要使某一个接口仅被指定的角色访问,那么只要在为其添加 [Authorize] 特性时指定 Roles 属性即可

[Authorize(Roles = "Administrator")]
public class BookController : ControllerBase
{
    。。。
}

允许多个角色访问,可通过逗号分隔角色名

[Authorize(Roles = "Administrator,Manager")]

同时需要具有多个角色才能访问

[Authorize(Roles = "Administrator")]
[Authorize(Roles = "Manager")]

基于 Claim 的授权则要求用户必须具有某一个指定类型的 Claim,要实现基于 Claim 的授权,需要创建授权策略并为其命名,然后在 [Authorize] 特性中指定 Policy 属性

要创建授权策略,只需在 startup 中添加并配置认证服务

services.AddMvc();
services.AddAuthorization(options =>
{
    options.AddPolicy("ManagerOnly", builder => builder.RequireClaim("ManagerId"));
    options.AddPolicy("LimitedUsers",
        builder => builder.RequireClaim("UserId", new string[] {"1", "2", "3"}));
});

上述方法添加了两个授权策略,ManagerOnly 要求用户必须具有类型为 ManagerId 的 Claim,而 LimitedUsers 则要求用户必须具有类型为 UserId 的 Claim,且它的值必须为指定的值

创建之后,只要在添加 [Authorize] 特性的时候指定 Policy 属性即可

[Authorize(Policy = "ManagerOnly")]

复杂的授权策略需要通过 IAuthorizationRequirement 接口和 AuthorizationHandler 类实现

实现只有注册日期超过3天后才有权限访问

namespace Library.API.Policy
{
    public class RegisteredMoreThen3DaysRequirement : AuthorizationHandler<RegisteredMoreThen3DaysRequirement>, IAuthorizationRequirement
    {
        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, RegisteredMoreThen3DaysRequirement requirement)
        {
            if (!context.User.HasClaim(cliam => cliam.Type == "RegisterDate"))
            {
                return Task.CompletedTask;
            }

            var regDate = Convert.ToDateTime(context.User.FindFirst(c => c.Type == "RegisterDate").Value);

            var timeSpan = DateTime.Now - regDate;
            if (timeSpan.TotalDays > 3)
            {
                context.Succeed(requirement);
            }

            return Task.CompletedTask;
        }
    }
}

要使用自定义策略,只要将它添加到 AuthorizationPolicyBuilder 类的集合属性 Requirements 中即可

services.AddAuthorization(options =>
{
    options.AddPolicy("RegisteredMoreThen3DaysRequirement",
        builder => builder.Requirements.Add(new RegisteredMoreThen3DaysRequirement()));
});

之后通过特性指定策略名称即可

本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。

欢迎转载、使用、重新发布,但务必保留文章署名 郑子铭 (包含链接: http://www.cnblogs.com/MingsonZheng/ ),不得用于商业目的,基于本文修改后的作品务必以相同的许可发布。

如有任何疑问,请与我联系 ([email protected]) 。


鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
上一篇:
Asp.Net项目与TCP服务端交互发布时间:2022-07-10
下一篇:
ASP.NETMVC控制器PART2发布时间:2022-07-10
热门推荐
热门话题
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap