第 8 章 认证和安全
8.2 ASP.NET Core Identity
Identity 是 ASP.NET Core 中提供的对用户和角色等信息进行存储与管理的系统
Identity 由3层构成,最底层为 Store 层,即存储层,包含 IUserStore
IUserStore
namespace Microsoft.AspNetCore.Identity
{
public interface IUserStore<TUser> : IDisposable where TUser : class
{
Task<string> GetUserIdAsync(TUser user, CancellationToken cancellationToken);
Task<string> GetUserNameAsync(TUser user, CancellationToken cancellationToken);
Task SetUserNameAsync(TUser user, string userName, CancellationToken cancellationToken);
Task<string> GetNormalizedUserNameAsync(TUser user, CancellationToken cancellationToken);
Task SetNormalizedUserNameAsync(
TUser user,
string normalizedName,
CancellationToken cancellationToken);
Task<IdentityResult> CreateAsync(
TUser user,
CancellationToken cancellationToken);
Task<IdentityResult> UpdateAsync(
TUser user,
CancellationToken cancellationToken);
Task<IdentityResult> DeleteAsync(
TUser user,
CancellationToken cancellationToken);
Task<TUser> FindByIdAsync(string userId, CancellationToken cancellationToken);
Task<TUser> FindByNameAsync(string normalizedUserName, CancellationToken cancellationToken);
}
}
两个接口定义极为类似,分别用来管理用户与角色,在它们的定义中均包含了对各自的泛型参数 TUser 和 TRole 的查找、创建、更新、删除等数据读取与存储操作
对于这两个接口的实现将决定用户与角色数据是如何存储的,比如存储在数据库中或者文件中,甚至存储在内存中
在 Microsoft.AspNetCore.Identity 中定义了两种形式的 UserStoreBase 抽象类,它们均实现了 IUserStore
public abstract class UserStoreBase<TUser, TKey, TUserClaim, TUserLogin, TUserToken> : IUserLoginStore<TUser>, IUserStore<TUser>, IDisposable, IUserClaimStore<TUser>, IUserPasswordStore<TUser>, IUserSecurityStampStore<TUser>, IUserEmailStore<TUser>, IUserLockoutStore<TUser>, IUserPhoneNumberStore<TUser>, IQueryableUserStore<TUser>, IUserTwoFactorStore<TUser>, IUserAuthenticationTokenStore<TUser>, IUserAuthenticatorKeyStore<TUser>, IUserTwoFactorRecoveryCodeStore<TUser>
where TUser : IdentityUser<TKey>
where TKey : IEquatable<TKey>
where TUserClaim : IdentityUserClaim<TKey>, new()
where TUserLogin : IdentityUserLogin<TKey>, new()
where TUserToken : IdentityUserToken<TKey>, new()
{
。。。
}
public abstract class UserStoreBase<TUser, TRole, TKey, TUserClaim, TUserRole, TUserLogin, TUserToken, TRoleClaim> :
UserStoreBase<TUser, TKey, TUserClaim, TUserLogin, TUserToken>,
IUserRoleStore<TUser>
where TUser : IdentityUser<TKey>
where TRole : IdentityRole<TKey>
where TKey : IEquatable<TKey>
where TUserClaim : IdentityUserClaim<TKey>, new()
where TUserRole : IdentityUserRole<TKey>, new()
where TUserLogin : IdentityUserLogin<TKey>, new()
where TUserToken : IdentityUserToken<TKey>, new()
where TRoleClaim : IdentityRoleClaim<TKey>, new()
{
。。。
}
第一种仅处理对用户的操作,第二种处理对用户与角色的操作
Identity 的第二层为 Managers 层,它包括 UserManager 与 RoleManager 两个类,分别用于处理与用户和角色相关的业务操作
UserManager 的构造函数如下:
public class UserManager<TUser> : IDisposable where TUser : class
{
public UserManager(
IUserStore<TUser> store,// 实现对用户的存储与读取操作
IOptions<IdentityOptions> optionsAccessor,// 访问在程序中添加Identity服务时的IdentityOptions配置
IPasswordHasher<TUser> passwordHasher,// 用于创建密码散列值以及验证密码
IEnumerable<IUserValidator<TUser>> userValidators,// 验证用户的规则集合
IEnumerable<IPasswordValidator<TUser>> passwordValidators,// 验证密码的规则集合
ILookupNormalizer keyNormalizer,// 用于对用户名进行规范化,从而便于查询
IdentityErrorDescriber errors,// 用于提供错误信息
IServiceProvider services,// 用于获取需要的依赖
ILogger<UserManager<TUser>> logger)// 用于记录日志
{
。。。
}
}
Identity 的最上层,即 Extensions 层,提供了一些辅助类(如 SignInManager 类),它包含了一系列与登录相关的方法
使用 Identity
由于用户和角色等数据均存储在数据表中,因此需要创建一个 EF Core 迁移,并通过该迁移在数据库中创建与 Identity 相关的数据表
namespace Library.API.Entities
{
public class User : IdentityUser
{
public DateTimeOffset BirthDate { get; set; }
}
}
namespace Library.API.Entities
{
public class Role : IdentityRole
{
}
}
接下来,修改 LibraryDbContext,使其派生自 IdentityDbContext<TUser, TRole, TKey> 类,TKey 类型参数是用户表与角色表主键字段的类型
public class LibraryDbContext : IdentityDbContext<User, Role, string>
{
。。。
}
需要添加 nuget 包:Microsoft.AspNetCore.Identity.EntityFrameworkCore
接下来,在 startup 中添加 Identity 服务
services.AddIdentity<User, Role>()
.AddEntityFrameworkStores<LibraryDbContext>();
AddIdentity 方法会向容器添加 UserManager、RoleManager,以及它们所依赖的服务,并且会添加 Identity 用到的 Cookie 认证
AddEntityFrameworkStores 方法会将 EF Core 中对 IUserStore
添加 Identity 服务后,还应修改添加 DbContext 服务的代码为
services.AddDbContext<LibraryDbContext>(
config => config.UseSqlServer(Configuration.GetConnectionString("DefaultConnection"),
optionBuilder => optionBuilder.MigrationsAssembly(typeof(Startup).Assembly.GetName().Name)));
MigrationsAssembly 方法为当前 DbContext 设置其迁移所在的程序集名称,这是由于 DbContext 与为其创建的迁移并不在同一个程序集中
接着,运行以下命令
Add-Migration AddIdentity
Update-Database
上述命令会创建一个名为 AddIdentity 的 EF Core 迁移,该迁移包含了创建与 Identity 相关的数据表操作,并将其修改应用到数据库中
接下来,在 AuthenticateController 中添加创建用户的方法,并修改原来对用户信息验证的逻辑
首先创建 RegisterUser 类,在创建用户时,请求中的信息将会反序列化为此类型
namespace Library.API.Models
{
public class RegisterUser
{
[Required, MinLength(4)]
public string UserName { get; set; }
[EmailAddress]
public string Email { get; set; }
[MinLength(6)]
public string Password { get; set; }
public DateTimeOffset BirthDate { get; set; }
}
}
然后,在 AuthenticateController 中添加 AddUserAsync 方法,用于创建用户
public class AuthenticateController : ControllerBase
{
public IConfiguration Configuration { get; set; }
public RoleManager<Role> RoleManager { get; set; }
public UserManager<User> UserManager { get; set; }
public AuthenticateController(IConfiguration configuration, RoleManager<Role> roleManager, UserManager<User> userManager)
{
Configuration = configuration;
RoleManager = roleManager;
UserManager = userManager;
}
[HttpPost("register", Name = nameof(AddUserAsync))]
public async Task<ActionResult> AddUserAsync(RegisterUser registerUser)
{
var user = new User
{
UserName = registerUser.UserName,
Email = registerUser.Email,
BirthDate = registerUser.BirthDate
};
IdentityResult result = await UserManager.CreateAsync(user, registerUser.Password);
if (result.Succeeded)
{
return Ok();
}
else
{
ModelState.AddModelError("Error", result.Errors.FirstOrDefault()?.Description);
return BadRequest(ModelState);
}
}
。。。
}
接着添加一个根据用户信息生成 Bearer Token 的方法
[HttpPost("token2", Name = nameof(GenerateTokenAsync))]
public async Task<IActionResult> GenerateTokenAsync(LoginUser loginUser)
{
var user = await UserManager.FindByEmailAsync(loginUser.UserName);
if (user == null)
{
return Unauthorized();
}
var result = UserManager.PasswordHasher.VerifyHashedPassword(user, user.PasswordHash, loginUser.Password);
if (result != PasswordVerificationResult.Success)
{
return Unauthorized();
}
var userClaims = await UserManager.GetClaimsAsync(user);
var userRoles = await UserManager.GetRolesAsync(user);
foreach (var roleItem in userRoles)
{
userClaims.Add(new Claim(ClaimTypes.Role, roleItem));
}
var claims = new List<Claim>
{
new Claim(JwtRegisteredClaimNames.Sub, user.UserName),
new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
new Claim(JwtRegisteredClaimNames.Email, user.Email)
};
claims.AddRange(userClaims);
// 此处为生成token代码,与GenerateToken方法中的内容相同
if (loginUser.UserName != "demouser" || loginUser.Password != "demopassword")
{
return Unauthorized();
}
//var claims = new List<Claim>
//{
// new Claim(JwtRegisteredClaimNames.Sub,loginUser.UserName)
//};
var tokenConfigSection = Configuration.GetSection("Security:Token");
var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(tokenConfigSection["Key"]));
var signCredential = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
var jwtToken = new JwtSecurityToken(
issuer: tokenConfigSection["Issuer"],
audience: tokenConfigSection["Audience"],
claims: claims,
expires: DateTime.Now.AddMinutes(3),// 由于 JWT 不支持销毁以及撤回功能,因此在设置它的有效时间时,应该设置一个较短的时间
signingCredentials: signCredential);
return Ok(new
{
token = new JwtSecurityTokenHandler().WriteToken(jwtToken),
expiration = TimeZoneInfo.ConvertTimeFromUtc(jwtToken.ValidTo, TimeZoneInfo.Local)
});
}
在上述方法中,首先验证用户信息是否存在以及用户信息是否正确,如果通过验证,则获取该用户相关的 Claim 以及角色,这些信息最终都会包含在生成的 Token 中
运行程序,注册用户,获取用户信息后请求 token2
接下来介绍授权及其实现
通过 UserManager
private async Task AddUserToRoleAsync(User user, string roleName)
{
if (user == null || string.IsNullOrWhiteSpace(roleName))
{
return;
}
bool isRoleExist = await RoleManager.RoleExistsAsync(roleName);
if (!isRoleExist)
{
await RoleManager.CreateAsync(new Role {Name = roleName});
}
else
{
if (await UserManager.IsInRoleAsync(user, roleName))
{
return;
}
}
await UserManager.AddToRoleAsync(user, roleName);
}
当创建用户或管理用户信息时,调用上述方法即可将用户添加到指定的角色中
await AddUserToRoleAsync(user, "Administrator");
当把用户添加到某一角色中时,如果要使某一个接口仅被指定的角色访问,那么只要在为其添加 [Authorize] 特性时指定 Roles 属性即可
[Authorize(Roles = "Administrator")]
public class BookController : ControllerBase
{
。。。
}
允许多个角色访问,可通过逗号分隔角色名
[Authorize(Roles = "Administrator,Manager")]
同时需要具有多个角色才能访问
[Authorize(Roles = "Administrator")]
[Authorize(Roles = "Manager")]
基于 Claim 的授权则要求用户必须具有某一个指定类型的 Claim,要实现基于 Claim 的授权,需要创建授权策略并为其命名,然后在 [Authorize] 特性中指定 Policy 属性
要创建授权策略,只需在 startup 中添加并配置认证服务
services.AddMvc();
services.AddAuthorization(options =>
{
options.AddPolicy("ManagerOnly", builder => builder.RequireClaim("ManagerId"));
options.AddPolicy("LimitedUsers",
builder => builder.RequireClaim("UserId", new string[] {"1", "2", "3"}));
});
上述方法添加了两个授权策略,ManagerOnly 要求用户必须具有类型为 ManagerId 的 Claim,而 LimitedUsers 则要求用户必须具有类型为 UserId 的 Claim,且它的值必须为指定的值
创建之后,只要在添加 [Authorize] 特性的时候指定 Policy 属性即可
[Authorize(Policy = "ManagerOnly")]
复杂的授权策略需要通过 IAuthorizationRequirement 接口和 AuthorizationHandler
实现只有注册日期超过3天后才有权限访问
namespace Library.API.Policy
{
public class RegisteredMoreThen3DaysRequirement : AuthorizationHandler<RegisteredMoreThen3DaysRequirement>, IAuthorizationRequirement
{
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, RegisteredMoreThen3DaysRequirement requirement)
{
if (!context.User.HasClaim(cliam => cliam.Type == "RegisterDate"))
{
return Task.CompletedTask;
}
var regDate = Convert.ToDateTime(context.User.FindFirst(c => c.Type == "RegisterDate").Value);
var timeSpan = DateTime.Now - regDate;
if (timeSpan.TotalDays > 3)
{
context.Succeed(requirement);
}
return Task.CompletedTask;
}
}
}
要使用自定义策略,只要将它添加到 AuthorizationPolicyBuilder 类的集合属性 Requirements 中即可
services.AddAuthorization(options =>
{
options.AddPolicy("RegisteredMoreThen3DaysRequirement",
builder => builder.Requirements.Add(new RegisteredMoreThen3DaysRequirement()));
});
之后通过特性指定策略名称即可
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。
欢迎转载、使用、重新发布,但务必保留文章署名 郑子铭 (包含链接: http://www.cnblogs.com/MingsonZheng/ ),不得用于商业目的,基于本文修改后的作品务必以相同的许可发布。
如有任何疑问,请与我联系 (MingsonZheng@outlook.com) 。