ASP.NET学习CORE中使用Cookie身份认证方法
大家在使用asp.net的时候一定都用过formsauthentication做登录用户的身份认证,formsauthentication的核心就是cookie,asp.net会将用户名存储在cookie中。
现在到了asp.net core的时代,但是asp.net core中没有formsauthentication这个东西,那么怎么做身份认证呢?答案是asp.net core已经为我们内置了cookie身份认证的功能,而且使用起来非常方便,注意本文是基于asp.net core 2.0版本来阐述cookie认证方式的。
1.从asp.net core owin框架中启用cookie身份认证功能
要在asp.net core中使用cookie身份认证,第一步就是在项目中的owin框架文件startup.cs中启用cookie身份认证中间件。
首先我们在startup中的configureservices方法中使用services.addauthentication注册cookie认证服务,如下代码所示:
public void configureservices(iservicecollection services) { services.addmvc(); //注册cookie认证服务 services.addauthentication(cookieauthenticationdefaults.authenticationscheme).addcookie(); }
然后在startup中的configure方法中使用app.useauthentication启用cookie认证中间件(注意其中app.useauthentication和app.usemvc的调用顺序不能反),如下代码所示:
public void configure(iapplicationbuilder app, ihostingenvironment env) { if (env.isdevelopment()) { app.usedeveloperexceptionpage(); app.usebrowserlink(); } else { app.useexceptionhandler("/home/error"); } app.usestaticfiles(); //注意app.useauthentication方法一定要放在下面的app.usemvc方法前面,否者后面就算调用httpcontext.signinasync进行用户登录后,使用 //httpcontext.user还是会显示用户没有登录,并且httpcontext.user.claims读取不到登录用户的任何信息。 //这说明asp.net owin框架中middleware的调用顺序会对系统功能产生很大的影响,各个middleware的调用顺序一定不能反 app.useauthentication(); app.usemvc(routes => { routes.maproute( name: "default", template: "{controller=home}/{action=index}/{id?}"); }); }
2.登录用户
在asp.net core中使用cookie认证登录用户的方法和传统的formsauthentication不太一样,大致步骤如下:
创建claim类型的数组,将登录用户的所有信息(比如用户名)存储在claim类型的字符串键值对中
将上面创建的claim类型的数组传入claimsidentity中,用来构造一个claimsidentity对象
将上面创建的claimsidentity对象传入claimsprincipal中,用来构造一个claimsprincipal对象
调用httpcontext.signinasync方法,传入上面创建的claimsprincipal对象,完成用户登录
所以我们可以看到整个asp.net core的cookie认证登录流程比以前asp.net的formsauthentication还是要复杂许多,毕竟以前一个formsauthentication.setauthcookie方法就搞定了。
在本文的例子中我们在项目中默认的homecontroller中创建了一个acion方法login,来实现用户登录的代码。当然这里我们实现的是最简的cookie登录,下面代码中实际上还可以设置cookie是否持久化、cookie多久过期、存储登录用户信息的cookie的名字是什么等,我们就不做过多介绍了,大家可以阅读本文最后推荐的两份官方文档了解更多。
login方法的代码如下:
/// <summary> /// 该action登录用户wangdacui到asp.net core /// </summary> public iactionresult login() { //下面的变量claims是claim类型的数组,claim是string类型的键值对,所以claims数组中可以存储任意个和用户有关的信息, //不过要注意这些信息都是加密后存储在客户端浏览器cookie中的,所以最好不要存储太多特别敏感的信息,这里我们只存储了用户名到claims数组, //表示当前登录的用户是谁 var claims = new[] { new claim("username", "wangdacui") }; var claimsidentity = new claimsidentity(claims, cookieauthenticationdefaults.authenticationscheme); claimsprincipal user = new claimsprincipal(claimsidentity); //登录用户,相当于asp.net中的formsauthentication.setauthcookie httpcontext.signinasync(cookieauthenticationdefaults.authenticationscheme, user).wait(); //可以使用httpcontext.signinasync方法的重载来定义持久化cookie存储用户认证信息,例如下面的代码就定义了用户登录后60分钟内cookie都会保留在客户端计算机硬盘上, //即便用户关闭了浏览器,60分钟内再次访问站点仍然是处于登录状态,除非调用logout方法注销登录。 /* httpcontext.signinasync( cookieauthenticationdefaults.authenticationscheme, user, new authenticationproperties() { ispersistent = true, expiresutc = datetimeoffset.now.addminutes(60) }).wait(); */ return view(); }
3.读取登录用户信息
那么用户登录后怎么将登录用户的信息(比如用户名)读取出来呢?我们在homecontroller的index方法中演示了如何判断当前用户是否已经登录,并且读出登录用户的用户名,index方法的代码如下所示:
/// <summary> /// 该action判断用户是否已经登录,如果已经登录,那么读取登录用户的用户名 /// </summary> public iactionresult index() { //如果httpcontext.user.identity.isauthenticated为true, //或者httpcontext.user.claims.count()大于0表示用户已经登录 if (httpcontext.user.identity.isauthenticated) { //这里通过 httpcontext.user.claims 可以将我们在login这个action中存储到cookie中的所有 //claims键值对都读出来,比如我们刚才定义的username的值wangdacui就在这里读取出来了 var username = httpcontext.user.claims.first().value; } return view(); }
4.注销用户
那么登录用户后怎么注销登录呢?我们在homecontroller的logout方法中演示了如何注销登录的用户,代码如下所示:
/// <summary> /// 该action从asp.net core中注销登录的用户 /// </summary> public iactionresult logout() { //注销登录的用户,相当于asp.net中的formsauthentication.signout httpcontext.signoutasync().wait(); return view(); }
前面说了实际上在asp.net core的cookie认证中还可以设置cookie的名字、是否持久化存储等。
以上就是本次小编整理的全部内容,感谢你对的支持。
推荐阅读
-
浅谈如何在ASP.NET Core中实现一个基础的身份认证
-
在ASP.NET Core中实现一个Token base的身份认证实例
-
详解在ASP.NET Core中使用Angular2以及与Angular2的Token base身份认证
-
ASP.NET Core 使用Cookie验证身份的示例代码
-
asp.net core 3.0中使用swagger的方法与问题
-
ASP.NET Core使用JWT认证授权的方法
-
asp.net core3.1cookie和jwt混合认证授权实现多种身份验证方案
-
asp.net core 使用identityServer4的密码模式来进行身份认证(2) 认证授权原理
-
Asp.Net Core 学习教程2、使用ASP.NET Core中的RazorPages
-
ASP.NET Core学习之使用JWT认证授权详解