我正在学习安全性如何在 ASP.NET Core 2.0 和 IdentityServer4 上工作。我使用 IdentityServer、API 和 ASP.NET Core MVC Client App 设置项目。
ConfigureService客户端应用程序上的方法如下。在这里,我对DefaultScheme和感到困惑DefaultChallengeScheme。配置这些有什么意义?如果可能的话,详细描述它是如何工作的会很有帮助。
我已经看到了DefaultScheme,而不是,DefaultSignInScheme也可以工作,但它是如何工作的?那些有什么区别?
public void ConfigureServices(IServiceCollection services) { services.AddMvc(); JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear(); services.AddAuthentication(options => { options.DefaultScheme = "Cookies"; options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme; //options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme; //options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme; }) .AddCookie("Cookies") .AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options => { options.SignInScheme = "Cookies"; options.RequireHttpsMetadata = false; options.Authority = "http://localhost:5000/"; options.ClientId = "mvcclient"; options.SaveTokens = true; }); }
解答:
多个 AddAuthentication() 调用似乎是问题所在。请参阅https://docs.microsoft.com/en-us/aspnet/core/security/authorization/limitingidentitybyscheme?view=aspnetcore-6.0
问题是这个。我试图设置
AddAuthentication两次。
嗯,那行不通。AddAuthentication与其他Add~方法一样,添加了使身份验证工作所需的服务。因此,就其本身而言,多次调用它的效果为零。
但是,传递参数的时候,那么你配置的AuthenticationOptions为好。
调用services.AddAuthentication(schemeName)基本相同,如下:
services.AddAuthentication(options =>
{
options.DefaultScheme = schemeName;
});
因此,在您的情况下,您将默认方案配置为CookieAuthenticationDefaults.AuthenticationScheme. 但是当您再次调用AddAuthentication时,您正在重新配置选项。由于您同时设置了DefaultAuthenticateScheme和DefaultChallengeScheme,因此设置最终如下所示:
options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme
options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
正如我在另一个答案中详细解释的那样,仅在未配置更明确的默认值时才使用默认方案。但是,每个身份验证操作仅调用一个方案。
当您将身份验证中间件与 一起使用时app.UseAuthentication(),将使用默认的身份验证方案来对用户进行身份验证。不过,在您的情况下,这是 JWT 承载方案,因此拥有 cookie 的用户将不会通过身份验证。只有当您删除 的配置时DefaultAuthenticateScheme,DefaultScheme才会使用 来成功验证用户。
要解决您的问题,您应该决定默认情况下要使用的单一方案。如果您的应用程序是具有 UI 的标准 Web 应用程序,那么您希望它成为 cookie 方案,以便访问您的应用程序的用户将得到正确的身份验证。如果您另外有一些需要使用 JWT 承载来验证客户端的 API,那么您应该考虑在这些 API 上明确要求该方案。例如,您可以通过在授权策略中指定方案或使用[Authorize]属性来做到这一点:
[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)] public class MyApiController : ControllerBase { … }
来自:https://stackoverflow.com/questions/63403002/user-identity-isauthenticated-is-false-after-log-in-and-setting-cookies