ASP.NET Core是一个跨平台的开源Web框架,提供了一套完整的认证和授权机制,可以帮助开发人员轻松地实现用户身份验证和授权管理。下面是ASP.NET Core认证和授权实例的完整攻略:
ASP.NET Core认证和授权实例详解
1. 认证
1.1 基于Cookie的认证
ASP.NET Core提供了一种基于Cookie的认证机制,可以将用户的身份信息存储在Cookie中,以便在后续的请求中进行验证。下面是一个基于Cookie的认证示例:
- 在Startup.cs文件中,添加以下代码:
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
.AddCookie(options =>
{
options.LoginPath = "/Account/Login";
options.LogoutPath = "/Account/Logout";
});
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseAuthentication();
app.UseAuthorization();
}
在上面的代码中,我们使用AddAuthentication方法来添加基于Cookie的认证机制,并将其指定为默认的认证方案。我们还使用AddCookie方法来配置Cookie认证选项,包括登录路径和注销路径。在Configure方法中,我们使用UseAuthentication和UseAuthorization方法来启用认证和授权中间件。
- 在AccountController.cs文件中,添加以下代码:
public class AccountController : Controller
{
private readonly UserManager<IdentityUser> _userManager;
private readonly SignInManager<IdentityUser> _signInManager;
public AccountController(UserManager<IdentityUser> userManager, SignInManager<IdentityUser> signInManager)
{
_userManager = userManager;
_signInManager = signInManager;
}
[HttpGet]
public IActionResult Login(string returnUrl = null)
{
ViewData["ReturnUrl"] = returnUrl;
return View();
}
[HttpPost]
public async Task<IActionResult> Login(LoginViewModel model, string returnUrl = null)
{
ViewData["ReturnUrl"] = returnUrl;
if (ModelState.IsValid)
{
var result = await _signInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, lockoutOnFailure: false);
if (result.Succeeded)
{
return RedirectToLocal(returnUrl);
}
else
{
ModelState.AddModelError(string.Empty, "Invalid login attempt.");
return View(model);
}
}
return View(model);
}
[HttpPost]
public async Task<IActionResult> Logout()
{
await _signInManager.SignOutAsync();
return RedirectToAction(nameof(HomeController.Index), "Home");
}
private IActionResult RedirectToLocal(string returnUrl)
{
if (Url.IsLocalUrl(returnUrl))
{
return Redirect(returnUrl);
}
else
{
return RedirectToAction(nameof(HomeController.Index), "Home");
}
}
}
在上面的代码中,我们创建了一个AccountController类,并注入了UserManager和SignInManager服务。我们添加了一个Login方法和一个Logout方法,用于处理用户登录和注销操作。在Login方法中,我们使用PasswordSignInAsync方法来验证用户的用户名和密码,并将用户的身份信息存储在Cookie中。在Logout方法中,我们使用SignOutAsync方法来清除用户的身份信息。
- 在Login.cshtml文件中,添加以下代码:
@model LoginViewModel
<form asp-action="Login" asp-route-returnUrl="@ViewData["ReturnUrl"]" method="post">
<div asp-validation-summary="All" class="text-danger"></div>
<div class="form-group">
<label asp-for="Email"></label>
<input asp-for="Email" class="form-control" />
<span asp-validation-for="Email" class="text-danger"></span>
</div>
<div class="form-group">
<label asp-for="Password"></label>
<input asp-for="Password" class="form-control" />
<span asp-validation-for="Password" class="text-danger"></span>
</div>
<div class="form-group">
<div class="checkbox">
<label asp-for="RememberMe">
<input asp-for="RememberMe" />
@Html.DisplayNameFor(m => m.RememberMe)
</label>
</div>
</div>
<div class="form-group">
<button type="submit" class="btn btn-primary">Login</button>
</div>
</form>
在上面的代码中,我们创建了一个登录表单,并使用asp-action和asp-route-returnUrl属性来指定登录操作的URL和返回URL。我们还使用asp-for和asp-validation-for属性来绑定模型属性和验证错误信息。
1.2 基于JWT的认证
ASP.NET Core还提供了一种基于JWT的认证机制,可以将用户的身份信息存储在JWT令牌中,以便在后续的请求中进行验证。下面是一个基于JWT的认证示例:
- 在Startup.cs文件中,添加以下代码:
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidIssuer = Configuration["Jwt:Issuer"],
ValidAudience = Configuration["Jwt:Audience"],
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:SecretKey"]))
};
});
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseAuthentication();
app.UseAuthorization();
}
在上面的代码中,我们使用AddAuthentication方法来添加基于JWT的认证机制,并将其指定为默认的认证方案。我们还使用AddJwtBearer方法来配置JWT认证选项,包括验证参数和密钥。在Configure方法中,我们使用UseAuthentication和UseAuthorization方法来启用认证和授权中间件。
- 在AccountController.cs文件中,添加以下代码:
public class AccountController : Controller
{
private readonly UserManager<IdentityUser> _userManager;
private readonly SignInManager<IdentityUser> _signInManager;
private readonly IConfiguration _configuration;
public AccountController(UserManager<IdentityUser> userManager, SignInManager<IdentityUser> signInManager, IConfiguration configuration)
{
_userManager = userManager;
_signInManager = signInManager;
_configuration = configuration;
}
[HttpPost]
public async Task<IActionResult> Login(LoginViewModel model)
{
if (ModelState.IsValid)
{
var user = await _userManager.FindByEmailAsync(model.Email);
if (user != null && await _userManager.CheckPasswordAsync(user, model.Password))
{
var claims = new List<Claim>
{
new Claim(ClaimTypes.NameIdentifier, user.Id),
new Claim(ClaimTypes.Name, user.UserName)
};
var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["Jwt:SecretKey"]));
var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
var token = new JwtSecurityToken(
issuer: _configuration["Jwt:Issuer"],
audience: _configuration["Jwt:Audience"],
claims: claims,
expires: DateTime.Now.AddMinutes(30),
signingCredentials: creds);
return Ok(new { token = new JwtSecurityTokenHandler().WriteToken(token) });
}
else
{
return Unauthorized();
}
}
return BadRequest();
}
}
在上面的代码中,我们创建了一个AccountController类,并注入了UserManager、SignInManager和IConfiguration服务。我们添加了一个Login方法,用于处理用户登录操作。在Login方法中,我们使用FindByEmailAsync和CheckPasswordAsync方法来验证用户的用户名和密码,并生成一个JWT令牌,将其作为响应返回给客户端。
- 在appsettings.json文件中,添加以下代码:
{
"Jwt": {
"Issuer": "MyApp",
"Audience": "MyApp",
"SecretKey": "MySecretKey"
}
}
在上面的代码中,我们添加了一个Jwt节点,用于存储JWT认证选项,包括颁发者、受众和密钥。
2. 授权
2.1 基于角色的授权
ASP.NET Core提供了一种基于角色的授权机制,可以根据用户的角色来限制其访问权限。下面是一个基于角色的授权示例:
- 在Startup.cs文件中,添加以下代码:
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthorization(options =>
{
options.AddPolicy("AdminOnly", policy => policy.RequireRole("Admin"));
});
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseAuthentication();
app.UseAuthorization();
}
在上面的代码中,我们使用AddAuthorization方法来添加授权机制,并添加了一个名为“AdminOnly”的策略,该策略要求用户必须具有“Admin”角色才能访问受保护的资源。在Configure方法中,我们使用UseAuthentication和UseAuthorization方法来启用认证和授权中间件。
- 在HomeController.cs文件中,添加以下代码:
[Authorize(Policy = "AdminOnly")]
public IActionResult AdminOnly()
{
return View();
}
在上面的代码中,我们添加了一个名为“AdminOnly”的Action,并使用Authorize特性来限制只有具有“Admin”角色的用户才能访问该Action。
2.2 基于声明的授权
ASP.NET Core还提供了一种基于声明的授权机制,可以根据用户的声明来限制其访问权限。下面是一个基于声明的授权示例:
- 在Startup.cs文件中,添加以下代码:
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthorization(options =>
{
options.AddPolicy("CanEdit", policy => policy.RequireClaim("CanEdit", "true"));
});
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseAuthentication();
app.UseAuthorization();
}
在上面的代码中,我们使用AddAuthorization方法来添加授权机制,并添加了一个名为“CanEdit”的策略,该策略要求用户必须具有名为“CanEdit”的声明,并且其值为“true”,才能访问受保护的资源。在Configure方法中,我们使用UseAuthentication和UseAuthorization方法来启用认证和授权中间件。
- 在HomeController.cs文件中,添加以下代码:
[Authorize(Policy = "CanEdit")]
public IActionResult CanEdit()
{
return View();
}
在上面的代码中,我们添加了一个名为“CanEdit”的Action,并使用Authorize特性来限制只有具有名为“CanEdit”的声明,并且其值为“true”的用户才能访问该Action。
总结
ASP.NET Core提供了一套完整的认证和授权机制,可以帮助开发人员轻松地实现用户身份验证和授权管理。本文介绍了基于Cookie和JWT的认证机制,以及基于角色和声明的授权机制,并提供了相应的示例代码。开发人员可以根据自己的需求选择适合自己的认证和授权方案,以确保应用程序的安全性和可靠性。