【翻译】使用WebApi和Asp.Net Core Identity 认证 Blazor WebAssembly(Blazor客户端应用)
偶然间在更新jetbrains rider时候发现blazor这个框架。
研究下。
blazor webassembly应用中的授权
在文档中提到了
在 blazor webassembly 应用中,可以绕过授权检查,因为用户可以修改所有客户端代码。 所有客户端应用程序技术都是如此,其中包括 javascript spa 框架或任何操作系统的本机应用程序。
始终对客户端应用程序访问的任何 api 终结点内的服务器执行授权检查。
google 找到了本文(原地址:https://chrissainty.com/securing-your-blazor-apps-authentication-with-clientside-blazor-using-webapi-aspnet-core-identity/)
由于该框架已经有所更新,翻译中有些内容我根据实际情况做了更改。
设置:创建解决方案
选择blazor应用
项目名称
选择blazor webassembly app(这里要勾选asp.net core host),如果找不到blazor webassembly app,请先在命令行执行以下命令:
dotnet new -i microsoft.aspnetcore.blazor.templates::3.1.0-preview1.19508.20
解决方案创建之后,我们将开始对authenticationwithblazorwebassembly.server这个项目进行一些更改。
配置webapi
在配置webapi之前我先安装一些nuget包:
<packagereference include="microsoft.aspnetcore.authentication.jwtbearer" version="3.0.0" /> <packagereference include="microsoft.aspnetcore.blazor.server" version="3.0.0-preview9.19465.2" /> <packagereference include="microsoft.aspnetcore.diagnostics.entityframeworkcore" version="3.0.0" /> <packagereference include="microsoft.aspnetcore.identity.entityframeworkcore" version="3.0.0" /> <packagereference include="microsoft.aspnetcore.identity.ui" version="3.0.0" /> <packagereference include="microsoft.entityframeworkcore.sqlserver" version="3.0.0" /> <packagereference include="microsoft.entityframeworkcore.tools" version="3.0.0"> <packagereference include="microsoft.visualstudio.web.codegeneration.design" version="3.0.0" />
设置identity数据库:连接字符串
在进行任何设置之前,数据库方面需要一个连接字符串。这通常是保存在appsettings.json
中的,但blazor托管模版并未提供此文件,所以我们需要手动添加此文件。
在authenticationwithblazorwebassembly.server项目右键添加 -> 新建项,然后选择应用设置文件
。
{ "connectionstrings": { "defaultconnection": "server=(localdb)\\mssqllocaldb;database=authenticationwithblazorwebassembly;trusted_connection=true;multipleactiveresultsets=true" } }
该文件带有一个已经设置好的连接字符串,你可以随时将其指向需要的地方。我们只需要添加一个数据库名就可以了,其余的保持默认值。
设置identity数据库:dbcontext
在authenticationwithblazorwebassembly.server项目跟目录创建一个名为data
的目录,然后使用下面代码添加一个名为applicationdbcontext
的类文件。
public class applicationdbcontext : identitydbcontext { public applicationdbcontext(dbcontextoptions options) : base(options) { } }
因为我们使用identity需要将信息存储在数据库中,所以我们不是从dbcontext
继承,而是从identitydbcontext
继承。identitydbcontext
基类包含ef配置管理identity数据库表需要的所有配置。
设置identity数据库:注册服务
在startup
类中,我们需要添加一个构造函数,接收iconfiguration参数
和一个属性来存储它。iconfiguration
允许我们访问appsettings.json
文件,如:连接字符串。
public iconfiguration configuration { get; } public startup(iconfiguration configuration) { configuration = configuration; }
接下来我们将以下代码添加到configureservices
方法的顶部。
public void configureservices(iservicecollection services) { services.adddbcontext<applicationdbcontext>(options => options.usesqlserver(configuration.getconnectionstring("defaultconnection"))); services.adddefaultidentity<identityuser>() .addentityframeworkstores<applicationdbcontext>(); //这里省略掉其他代码 }
这里两行代码将applicationdbcontext
添加到服务集合中。然后为asp.net core identity注册各种服务并通过applicationdbcontext
使用entity framework作为数据存储。
设置identity数据库:创建数据库
现在可以为数据库创建初始迁移。在程序包管理器控制台运行以下命令。
add-migration createidentityschema -o data/migations
命令运行完成,你应该能在data
> migrations
文件夹中看到迁移文件。在控制台中运行命令update-database
将迁移应用到数据库。
在运行迁移命令时遇到任何问题,请确保在程序包管理器中选择authenticationwithblazorwebassembly.server
项目作为默认项目。
启用身份验证:注册服务
接下来在api中启用身份验证。同样,在configureservices中,在上一节添加的代码之后添加以下代码。
public void configureservices(iservicecollection services) { //这里省略到其他代码 services.addauthentication(jwtbearerdefaults.authenticationscheme) .addjwtbearer(options => { options.tokenvalidationparameters = new tokenvalidationparameters { validateissuer = true, validateaudience = true, validatelifetime = true, validateissuersigningkey = true, validissuer = configuration["jwtissuer"], validaudience = configuration["jwtaudience"], issuersigningkey = new symmetricsecuritykey(encoding.utf8.getbytes(configuration["jwtsecuritykey"])) }; });
//这里省略掉其他代码
}
上面代码想服务容器添加和设置一些身份验证所需的服务。然后为json web tokens(jwt)添加处理程序,并配置接收到的jwts应该如何验证。你可以根据需求调整这些设置。
启用身份验证:应用程序设置
有一些设置要从appsettings.json
文件中加载。
configuration["jwtissuer"]
configuration["jwtaudience"]
configuration["jwtsecuritykey"]
我们还未将它们添加到appsettings
文件中。现在添加它们并添加一个设置用来控制令牌的持续时间,稍后我们会使用这个设置。
"jwtsecuritykey": "random_key_must_not_be_shared", "jwtissuer": "https://localhost", "jwtaudience": "https://localhost", "jwtexpiryindays": 1,
保证jwtsecuritykey
的安全是非常重要的,因为这是用来对api产生的令牌签名的,如果泄露那么你的应用程序将不在安全。
由于我们在本地运行所有内容,所以我将issuer和audience设置为localhost。如果在生产环境使用它,我们需要将issuer 设置为api运行的域名,将audience设置为客户端应用程序运行的域名。
启用身份验证:添加中间件
最后,我们需要在configure
方法中将必要的中间件添加到管道中。这将在api中启用身份验证和授权功能。将以下代码添加到app.useendpoints
中间件前面。
app.useauthentication(); app.useauthorization();
这就是startup
类所需要的所有东西。现在api已经启用了身份验证。
你可以通过向weatherforecastcontroller
中的get方法添加[authorize]
属性来测试一切是否正常。然后启用应用程序并导航到fetch data页面,应该不会加载任何数据,应该会在控制台中看到401错误。
添加账户(account)控制器
为了让人们登录到我们的应用程序,他们需要能够注册。我们将添加一个帐户控制器,它将负责创建新帐户。
[route("api/[controller]")] [apicontroller] public class accountscontroller : controllerbase { //private static usermodel loggedoutuser = new usermodel { isauthenticated = false }; private readonly usermanager<identityuser> _usermanager; public accountscontroller(usermanager<identityuser> usermanager) { _usermanager = usermanager; } [httppost] public async task<iactionresult> post([frombody]registermodel model) { var newuser = new identityuser { username = model.email, email = model.email }; var result = await _usermanager.createasync(newuser, model.password); if (!result.succeeded) { var errors = result.errors.select(x => x.description); return badrequest(new registerresult { successful = false, errors = errors }); } return ok(new registerresult { successful = true }); } }
post
操作使用asp.net core identity从registermodel
来创建系统的新用户。
我们还没用添加注册模型,现在使用以下代码添加到authenticationwithblazorwebassembly.shared
项目中,稍后我们的blazor应用程序将会使用到它。
public class registermodel { [required] [emailaddress] [display(name = "email")] public string email { get; set; } [required] [stringlength(100, errormessage = "the {0} must be at least {2} and at max {1} characters long.", minimumlength = 6)] [datatype(datatype.password)] [display(name = "password")] public string password { get; set; } [datatype(datatype.password)] [display(name = "confirm password")] [compare("password", errormessage = "the password and confirmation password do not match.")] public string confirmpassword { get; set; } }
如果一切顺利,则会返回一个成功的registerresult
,否则会返回一个失败的registerresult
,我们一样将它添加到authenticationwithblazorwebassembly.shared
项目中。
public class registerresult { public bool successful { get; set; } public ienumerable<string> errors { get; set; } }
添加登录(login)控制器
现在我们有了用户注册的方式,我们还需要用户登录方式。
[route("api/[controller]")] [apicontroller] public class logincontroller : controllerbase { private readonly iconfiguration _configuration; private readonly signinmanager<identityuser> _signinmanager; public logincontroller(iconfiguration configuration, signinmanager<identityuser> signinmanager) { _configuration = configuration; _signinmanager = signinmanager; } [httppost] public async task<iactionresult> login([frombody] loginmodel login) { var result = await _signinmanager.passwordsigninasync(login.email, login.password, false, false); if (!result.succeeded) return badrequest(new loginresult { successful = false, error = "username and password are invalid." }); var claims = new[] { new claim(claimtypes.name, login.email) }; var key = new symmetricsecuritykey(encoding.utf8.getbytes(_configuration["jwtsecuritykey"])); var creds = new signingcredentials(key, securityalgorithms.hmacsha256); var expiry = datetime.now.adddays(convert.toint32(_configuration["jwtexpiryindays"])); var token = new jwtsecuritytoken( _configuration["jwtissuer"], _configuration["jwtaudience"], claims, expires: expiry, signingcredentials: creds ); return ok(new loginresult { successful = true, token = new jwtsecuritytokenhandler().writetoken(token) }); } }
登录控制器(login controller)使用asp.net core identity signinmanger
验证用户名和密码。如果它们都正确,则生成一个新的json web token并在loginresult
返回给客户端。
像之前一样,我们需要将loginmodel
和loginresult
添加到authenticationwithblazorwebassembly.shared项目中。
public class loginmodel { [required] public string email { get; set; } [required] public string password { get; set; } public bool rememberme { get; set; } }
public class loginresult { public bool successful { get; set; } public string error { get; set; } public string token { get; set; } }
这就是api需要的所有东西。我们现在已经将其配置为通过json web tokens进行身份验证。接下来我们需要为blazor webassembly(客户端)应用程序添加注册新用户和登录控制器。
配置blazor客户端
接下来我们关注blazor。首先需要安装blazored.localstorage
,我们稍后将需要它在登录时从api中持久化验证令牌。
我们还需要在app
组件中使用authorizerouteview
组件替换routeview
组件(这里需要使用microsoft.aspnetcore.components.authorization nuget包并在_imports.razor
添加@using microsoft.aspnetcore.components.authorization
)。
<router appassembly="@typeof(program).assembly"> <found context="routedata"> <authorizerouteview routedata="@routedata" defaultlayout="@typeof(mainlayout)" /> </found> <notfound> <layoutview layout="@typeof(mainlayout)"> <p>sorry, there's nothing at this address.</p> </layoutview> </notfound> </router>
此组件提供类型为task<authenticationstate>
的级联参数。authorizeview
通过使用它来确定当前用户的身份验证状态。
但是任何组件都可以请求参数并使用它来执行过程逻辑,例如:
@page "/" <button @onclick="@logusername">log username</button> @code { [cascadingparameter] private task<authenticationstate> authenticationstatetask { get; set; } private async task logusername() { var authstate = await authenticationstatetask; var user = authstate.user; if (user.identity.isauthenticated) { console.writeline($"{user.identity.name} is authenticated."); } else { console.writeline("the user is not authenticated."); } } }
创建自定义authenticationstateprovider
因为我们使用blazor webassembly,所以我们需要为authenticationstateprovider
提供自定义实现。因为在客户端应用程序有太多的选项,所以无法设计一个适用于所有人的默认类。
我们需要重写getauthenticationstateasync
方法。在此方法中,我们需要确定当前用户是否经过身份验证。我们还将添加两个辅助方法,当用户登录或注销时,我们将使用这些方法更新身份验证状态。
public class apiauthenticationstateprovider : authenticationstateprovider { private readonly httpclient _httpclient; private readonly ilocalstorageservice _localstorage; public apiauthenticationstateprovider(httpclient httpclient, ilocalstorageservice localstorage) { _httpclient = httpclient; _localstorage = localstorage; } public override async task<authenticationstate> getauthenticationstateasync() { var savedtoken = await _localstorage.getitemasync<string>("authtoken"); if (string.isnullorwhitespace(savedtoken)) { return new authenticationstate(new claimsprincipal(new claimsidentity())); } _httpclient.defaultrequestheaders.authorization = new authenticationheadervalue("bearer", savedtoken); return new authenticationstate(new claimsprincipal(new claimsidentity(parseclaimsfromjwt(savedtoken), "jwt"))); } public void markuserasauthenticated(string token) { var authenticateduser = new claimsprincipal(new claimsidentity(parseclaimsfromjwt(token), "jwt")); var authstate = task.fromresult(new authenticationstate(authenticateduser)); notifyauthenticationstatechanged(authstate); } public void markuserasloggedout() { var anonymoususer = new claimsprincipal(new claimsidentity()); var authstate = task.fromresult(new authenticationstate(anonymoususer)); notifyauthenticationstatechanged(authstate); } private ienumerable<claim> parseclaimsfromjwt(string jwt) { var claims = new list<claim>(); var payload = jwt.split('.')[1]; var jsonbytes = parsebase64withoutpadding(payload); var keyvaluepairs = jsonserializer.deserialize<dictionary<string, object>>(jsonbytes); keyvaluepairs.trygetvalue(claimtypes.role, out object roles); if (roles != null) { if (roles.tostring().trim().startswith("[")) { var parsedroles = jsonserializer.deserialize<string[]>(roles.tostring()); foreach (var parsedrole in parsedroles) { claims.add(new claim(claimtypes.role, parsedrole)); } } else { claims.add(new claim(claimtypes.role, roles.tostring())); } keyvaluepairs.remove(claimtypes.role); } claims.addrange(keyvaluepairs.select(kvp => new claim(kvp.key, kvp.value.tostring()))); return claims; } private byte[] parsebase64withoutpadding(string base64) { switch (base64.length % 4) { case 2: base64 += "=="; break; case 3: base64 += "="; break; } return convert.frombase64string(base64); } }
这里有很多代码,让我们一步一步来分析。
cascadingauthenticationstate
组件调用getauthenticationstateasync
方法来确定当前用户是否经过验证。
上面的代码,我们检查local storge
是否有验证令牌。如果local storge
中没有令牌,那么我们将返回一个新的authenticationstate
,其中包含一个空的claimsprincipal
。这就说明当前用户用户没有经过身份验证。
如果有令牌,读取并设置httpclient
的默认authorization header,并返回一个包含claimsprincipal
新的authenticationstate
的令牌声明。该声明(claims)使用parseclaimsfromjwt
方法从令牌中提取。此方法解码令牌并返回其中包含的声明。
markuserasauthenticated
辅助方法用于登录时调用notifyauthenticationstatechanged
方法,该方法触发authenticationstatechanged
事件。这将通过cascadingauthenticationstate
组件级联新的身份验证状态。
markuserasloggedout
用于用户注销时。
auth service
auth service将在组件中注册用户并登录到应用程序和用户注销使用。
public class authservice : iauthservice { private readonly httpclient _httpclient; private readonly authenticationstateprovider _authenticationstateprovider; private readonly ilocalstorageservice _localstorage; public authservice(httpclient httpclient, authenticationstateprovider authenticationstateprovider, ilocalstorageservice localstorage) { _httpclient = httpclient; _authenticationstateprovider = authenticationstateprovider; _localstorage = localstorage; } public async task<registerresult> register(registermodel registermodel) { var result = await _httpclient.postjsonasync<registerresult>("api/accounts", registermodel); return result; } public async task<loginresult> login(loginmodel loginmodel) { var loginasjson = jsonserializer.serialize(loginmodel); var response = await _httpclient.postasync("api/login", new stringcontent(loginasjson, encoding.utf8, "application/json")); var loginresult = jsonserializer.deserialize<loginresult>(await response.content.readasstringasync(), new jsonserializeroptions { propertynamecaseinsensitive = true }); if (!response.issuccessstatuscode) { return loginresult; } await _localstorage.setitemasync("authtoken", loginresult.token); ((apiauthenticationstateprovider)_authenticationstateprovider).markuserasauthenticated(loginresult.token); _httpclient.defaultrequestheaders.authorization = new authenticationheadervalue("bearer", loginresult.token); return loginresult; } public async task logout() { await _localstorage.removeitemasync("authtoken"); ((apiauthenticationstateprovider)_authenticationstateprovider).markuserasloggedout(); _httpclient.defaultrequestheaders.authorization = null; } }
register
方法提交registermodel
给accounts controller并返回registerresult
给调用者。
login
方法类似于register
方法,它将loginmodel
发送给login controller。但是,当返回一个成功的结果时,它将返回一个授权令牌并持久化到local storge。
最后我们调用apiauthenticationstateprovider
上的方法markuserasauthenticated
,设置httpclient
的默认authorization header。
logout
这个方法就是执行与login
方法相反的操作。
注册组件(register component)
我们已经到了最后阶段了。现在我们可以将注意力转向ui,并创建一个允许人们在站点注册的组件。
@page "/register" @inject iauthservice authservice @inject navigationmanager navigationmanager <h1>register</h1> @if (showerrors) { <div class="alert alert-danger" role="alert"> @foreach (var error in errors) { <p>@error</p> } </div> } <div class="card"> <div class="card-body"> <h5 class="card-title">please enter your details</h5> <editform model="registermodel" onvalidsubmit="handleregistration"> <dataannotationsvalidator /> <validationsummary /> <div class="form-group"> <label for="email">email address</label> <inputtext id="email" class="form-control" @bind-value="registermodel.email" /> <validationmessage for="@(() => registermodel.email)" /> </div> <div class="form-group"> <label for="password">password</label> <inputtext id="password" type="password" class="form-control" @bind-value="registermodel.password" /> <validationmessage for="@(() => registermodel.password)" /> </div> <div class="form-group"> <label for="confirmpassword">confirm password</label> <inputtext id="confirmpassword" type="password" class="form-control" @bind-value="registermodel.confirmpassword" /> <validationmessage for="@(() => registermodel.confirmpassword)" /> </div> <button type="submit" class="btn btn-primary">submit</button> </editform> </div> </div> @code { private registermodel registermodel = new registermodel(); private bool showerrors; private ienumerable<string> errors; private async task handleregistration() { showerrors = false; var result = await authservice.register(registermodel); if (result.successful) { navigationmanager.navigateto("/login"); } else { errors = result.errors; showerrors = true; } } }
注册组件包含一个表单让用户输入他们的电子邮件和密码。提交表单时,会调用authservice
的方法register
。如果注册成功那么用户会被导航到登录页,否则,会将错误显示给用户。
登录组件(login component)
现在我们可以注册一个新的帐户,我们需要能够登录。登录组件将用于此。
@page "/login" @inject iauthservice authservice @inject navigationmanager navigationmanager <h1>login</h1> @if (showerrors) { <div class="alert alert-danger" role="alert"> <p>@error</p> </div> } <div class="card"> <div class="card-body"> <h5 class="card-title">please enter your details</h5> <editform model="loginmodel" onvalidsubmit="handlelogin"> <dataannotationsvalidator /> <validationsummary /> <div class="form-group"> <label for="email">email address</label> <inputtext id="email" class="form-control" @bind-value="loginmodel.email" /> <validationmessage for="@(() => loginmodel.email)" /> </div> <div class="form-group"> <label for="password">password</label> <inputtext id="password" type="password" class="form-control" @bind-value="loginmodel.password" /> <validationmessage for="@(() => loginmodel.password)" /> </div> <button type="submit" class="btn btn-primary">submit</button> </editform> </div> </div> @code { private loginmodel loginmodel = new loginmodel(); private bool showerrors; private string error = ""; private async task handlelogin() { showerrors = false; var result = await authservice.login(loginmodel); if (result.successful) { navigationmanager.navigateto("/"); } else { error = result.error; showerrors = true; } } }
与注册组件类似的设计,我们也提供一个表单用于用户输入电子邮件和密码。表单提交时,将调用authservice
的方法login
。如果登录成功,用户将被重定向到主页,否则将显示错误消息。
注销组件(logout component)
我们现在可以注册和登录,但我们也需要注销的功能。我用了一个页面组件来做这个,但是你也可以通过点击某个地方的按钮来实现。
@page "/logout" @inject iauthservice authservice @inject navigationmanager navigationmanager @code { protected override async task oninitializedasync() { await authservice.logout(); navigationmanager.navigateto("/"); } }
这个组件没有用户界面,当用户导航到它时,将调用authservice
上的方法logout,然后将用户重定向回主页。
添加一个logindisplay组件并更新mainlayout组件
最后的任务是添加一个logindisplay
组件并更新mainlayout
组件。
logindisplay
组件与blazor server模版一样,如果未经验证,它将显示登录与注册链接,否则显示电子邮件和注销链接。
<authorizeview> <authorized> hello, @context.user.identity.name! <a href="/logout">log out</a> </authorized> <notauthorized> <a href="/register">register</a> <a href="/login">log in</a> </notauthorized> </authorizeview>
我们现在只需要更新mainlayout组件。
@inherits layoutcomponentbase <div class="sidebar"> <navmenu /> </div> <div class="main"> <div class="top-row px-4"> <logindisplay /> <a href="http://blazor.net" target="_blank" class="ml-md-auto">about</a> </div> <div class="content px-4"> @body </div> </div>
注册服务(registering services)
最后在startup
类中注册服务。
services.addblazoredlocalstorage(); services.addauthorizationcore(); services.addscoped<authenticationstateprovider, apiauthenticationstateprovider>(); services.addscoped<iauthservice, authservice>();
如果一切都按计划进行,那么你应该得到这样的结果。
总结
这篇文章展示了如何webapi和asp.net core identity创建一个带有身份验证的blazor webassembly(blazor客户端)应用程序。
展示webapi如何处理和签发令牌(json web tokens)。以及如何设置各种控制器操作来为客户端应用程序提供服务。最后,展示如何配置blazor来使用api和它签发的令牌来设置应用的身份验证状态。
最后也提供我学习本文跟随作者所写的源码(github)。