【asp.net core 系列】13 Identity 身份验证入门

0. 前言

经过前两篇咱们实现了如何在Service层如何访问数据，以及如何运用简单的加密算法对数据加密。这一篇咱们将探索如何实现asp.net core的身份验证。

1. 身份验证

asp.net core的身份验证有 JwtBearer和Cookie两种常见的模式，在这一篇咱们将启用Cookie做为身份信息的保存。那么，咱们如何启用呢？

在Startup.cs 的ConfigureServices(IServiceCollection services) 方法里添加以下：

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
                .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
                {
                    Configuration.Bind("CookieSettings",options);
                });

此时能够启动一个权限验证，当用户访问须要验证的页面或接口时，若是没有登陆，则会自动跳转到：

https://localhost:5001/Account/Login?ReturnUrl=XXXX

其中ReturnUrl指向来源页。

1.1 设置验证

当咱们在Startup类里设置启用了身份验证后，并非访问全部接口都会被跳转到登陆页面。那么如何设置访问的路径须要身份验证呢？asp.net core为咱们提供了一个特性类：

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class AuthorizeAttribute : Attribute, IAuthorizeData
{
    public string Policy { get; set; }
    public string Roles { get; set; }
    public string AuthenticationSchemes { get; set; }
}

能够看的出，这个特性类容许设置在类、方法上，能够设置多个，容许子类继承父类的特性。因此能够在控制器上设置[Authorize]，当在控制器上设置之后访问控制器里全部的Action都会要求验证身份；也能够单独设置在Action上，表示该Action须要验证身份，控制器里的其余方法不须要验证。

1.2 设置忽略

咱们在开发过程当中，会遇到这样的一组连接或者页面：请求地址同属于一个控制器下，但其中某个地址能够不用用户登陆就能够访问。一般咱们为了减小重复代码以及复用性等方面的考虑，会直接在控制器上设置身份验证要求，而不是在控制器里全部的Action上添加验证要求。

那么，咱们如何放开其中的某个请求，能够容许它不用身份验证。

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]
public class AllowAnonymousAttribute : Attribute, IAllowAnonymous
{
}

仔细观察，能够看得出这个特性能够设置在类、方法上，不容许屡次设置，容许子类继承父类的特性。

这个特性的使用没啥可说的，不过须要注意的是，不要与AuthorizeAttribute一块儿使用。虽然编译上没啥问题，但实际上会对程序员的逻辑照成必定程度的误导。

2.保存身份

有身份验证，就必然须要保存身份。当咱们从数据库中或者其余的三方服务中获取到用户信息后，咱们须要将用户信息保存起来，而不是每次都向用户或者服务提供方索求信息。

在asp.net core中，Controller类里有一个属性：

public HttpContext HttpContext { get; }

HttpContext 提供了一个扩展方法，能够用来保存用户信息：

public static Task SignInAsync(this HttpContext context, ClaimsPrincipal principal);

暂时忽略这个方法的返回类型，它接受了一个ClaimsPrincipal类型的参数。咱们来看下这个类的基本状况吧：

public class ClaimsPrincipal : IPrincipal
{

    public ClaimsPrincipal();
    public ClaimsPrincipal(IEnumerable<ClaimsIdentity> identities);
    public ClaimsPrincipal(BinaryReader reader);
    public ClaimsPrincipal(IIdentity identity);
    public ClaimsPrincipal(IPrincipal principal);

    public static ClaimsPrincipal Current { get; }
    public static Func<ClaimsPrincipal> ClaimsPrincipalSelector { get; set; }
    public static Func<IEnumerable<ClaimsIdentity>, ClaimsIdentity> PrimaryIdentitySelector { get; set; }
    public virtual IIdentity Identity { get; }
    public virtual IEnumerable<ClaimsIdentity> Identities { get; }
    public virtual IEnumerable<Claim> Claims { get; }
    public virtual void AddIdentities(IEnumerable<ClaimsIdentity> identities);
    public virtual void AddIdentity(ClaimsIdentity identity);
    public virtual ClaimsPrincipal Clone();
    public virtual IEnumerable<Claim> FindAll(Predicate<Claim> match);
    public virtual IEnumerable<Claim> FindAll(string type);
    public virtual Claim FindFirst(string type);
    public virtual Claim FindFirst(Predicate<Claim> match);
    public virtual bool HasClaim(Predicate<Claim> match);
    public virtual bool HasClaim(string type, string value);
    public virtual bool IsInRole(string role);
    public virtual void WriteTo(BinaryWriter writer);
}

方法和属性有点多，那么咱们重点关注一下构造函数以及能够AddXXX开头的方法。

这里有一个窍门，对于一个陌生的类来讲，构造函数对于类自己是个很重要的特征，咱们能够经过构造函数分析出这个类须要哪些基础数据。

因此，经过简单的分析，咱们须要继续了解这两个类：

public class ClaimsIdentity : IIdentity
{
    public ClaimsIdentity();
    public ClaimsIdentity(string authenticationType);
    public ClaimsIdentity(IIdentity identity);
    public ClaimsIdentity(IEnumerable<Claim> claims);
    public ClaimsIdentity(IEnumerable<Claim> claims, string authenticationType);
    public ClaimsIdentity(IIdentity identity, IEnumerable<Claim> claims);
    public ClaimsIdentity(string authenticationType, string nameType, string roleType);
    public ClaimsIdentity(IEnumerable<Claim> claims, string authenticationType, string nameType, string roleType);
    public ClaimsIdentity(IIdentity identity, IEnumerable<Claim> claims, string authenticationType, string nameType, string roleType);

}

public class Claim
{
    public Claim(BinaryReader reader);
    public Claim(BinaryReader reader, ClaimsIdentity subject);

    public Claim(string type, string value);
    public Claim(string type, string value, string valueType);
    public Claim(string type, string value, string valueType, string issuer);

    public Claim(string type, string value, string valueType, string issuer, string originalIssuer);
    public Claim(string type, string value, string valueType, string issuer, string originalIssuer, ClaimsIdentity subject);
    protected Claim(Claim other);
    protected Claim(Claim other, ClaimsIdentity subject);
    public string Type { get; }
    public ClaimsIdentity Subject { get; }
    public IDictionary<string, string> Properties { get; }
    public string OriginalIssuer { get; }
    public string Issuer { get; }
    public string ValueType { get; }
    public string Value { get; }
    protected virtual byte[] CustomSerializationData { get; }
    public virtual Claim Clone();
    public virtual Claim Clone(ClaimsIdentity identity);
    public override string ToString();
    public virtual void WriteTo(BinaryWriter writer);
    protected virtual void WriteTo(BinaryWriter writer, byte[] userData);
}

因此，看到这里就会发现，咱们能够经过如下方式保存信息：

List<Claim> claims = null;
var identity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme);

HttpContext.SignInAsync( CookieAuthenticationDefaults.AuthenticationScheme,new ClaimsPrincipal(identity));

这时候，数据就能够保存在Cookie里了，那么如何在控制器中获取到数据呢：

public ClaimsPrincipal User { get; }

在控制器中，提供了这样一个属性，固然若是想要正确获取到值的话，须要在 Startup.cs类中的添加以下配置：

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    // ……省略其余配置
    app.UseAuthorization();
    app.UseAuthentication();
    // ……省略其余配置
}

3. 总结

在这一篇中，简单介绍了asp.net core的identity，下一篇将从实际上带领你们设置不同的identity以及Authorize验证。