authentication - .Net Core 身份验证和用户 session

Question

我是 .Net Core 的新手(目前使用 .Net Core 2.2)授权和身份验证。
我必须在我的新项目中开发身份验证和授权机制。在网上搜索我发现了几种方法(使用身份、不使用、使用 Cookie、使用 JWT 等)。
我想有人给我指出一些非常适合我的场景的方向。以下是要求:

我正在将应用程序开发为 API。所以我需要保护我的端点。

身份验证将由我的客户提供的第三部分系统完成。基本上，在我的 Login 中收到用户名和密码后端点，我将不得不请求此服务。然后，该服务将告诉我用户是否经过身份验证以及它的角色。

经过身份验证后，我将查询我自己的数据库以获取有关用户的信息:它的时区、语言等。我希望在 session 中包含这些信息，以便该用户的每个请求到达我的服务器，我都会得到语言，例如，为了以正确的语言返回数据。

该应用程序将部署在两个具有负载平衡的不同服务器中。登录一个服务器的用户应该在另一个服务器中有效(服务器必须以某种方式共享 cookie/ token )。

我对这里的很多东西都不熟悉。我不知道是否可以在服务器之间共享 cookie 身份验证，或者我应该使用 JWT 并将其保存在数据库中...？另外，Session 在 .Net 核心中是如何工作的？我可以以某种方式将 session 绑定(bind)到 JWT 或类似的东西吗？

这将是这里最好的/推荐的方法？

非常感谢任何帮助/教程。

谢谢!

Answer 1

只是一些概念:

身份 是一个用于帮助设置和管理用户群的库，例如注册、验证密码、密码重置等。它管理存储、安全性和许多必需的验证。这部分似乎由您的客户管理。所以你不需要这个。

Cookie/ session Web 应用程序通常使用它来跟踪当前用户信息。虽然可以将这些与 Web API 一起使用，但实际上不推荐也不这样做。

智威汤逊 用于无状态设置。 Web API 大多是无状态的 (REST)。这意味着最小使用量或 RAM 并且不使用 RAM 或数据库来跟踪状态(以了解先前的请求是否与当前有关)。获取您的用户数据的 JWT，使用 签名 secret 您可以提供并创建 的字符串签名 .您可以在 https://jwt.io 等网站上在线阅读有关 JWT 的更多信息。 .

您的第一阶段是连接到客户端的系统进行身份验证。由于您打算连接到服务器端的另一个 API，因此您需要使用 .NET Core 的 AddHttpClient特征。首先，创建一个类似这样的类:

public class MyAuthClient
{
    private readonly HttpClient httpClient;

    public MyAuthClient(HttpClient httpClient)
    {
        this.httpClient = httpClient;
    }

    public Dictionary<string, string> AuthorizeUser(string username, string password)
    {
        // use the httpClient send login and get confirmation from client's system
        if (loginFailed) return null;
        else
        {
            var result = new Dictionary<string, string>();
            result["userData1"] = "value"; // get these values from the http request you have created above.
        }
    }

}

在您的启动中添加以下内容:

services.AddHttpClient<MyAuthClient>(client => {
    client.BaseAddress = new Uri("https://yourclientsystem.com");
});

现在，要设置 JWT 身份验证，您可以在网上找到几种方法。我建立了一个名为 NetCore.Jwt 的库在这种情况下，这可能非常有用。如果您不习惯使用它，您可以提取其源代码或在线使用替代方案。
完成后，在您的 startup.cs 文件中:

在 ConfigureServices 中使用以下内容功能:

services.AddAuthentication(NetCoreJwtDefaults.SchemeName).AddNetCoreJwt(options => 
{
    options.Secret = "yourVerySecretKeyThatYouWillBeSharingBetweenBothServers";
   // you can configure other options here too
});

以及 Configure 中的以下内容功能:

app.UseAuthentication();

上面的代码使用 JWT 为您的应用程序配置身份验证。确保 Secret两个应用程序中的字符串相同将有助于确保您在两个应用程序之间共享相同的登录名。在代码中硬编码这样的字符串是不安全的。查看 this link了解如何以安全格式存储内容。
现在，您将需要一个 Controller 和操作，您可以在其中获取用户的登录信息并提供有效的 JWT。这将设置如下:

public class AuthController : Controller
{
    private readonly MyAuthClient authClient;

    public AuthController(MyAuthClient authClient)
    {
        this.authClient = authClient;
    }

    public ActionResult<string> Login(string userName, string password)
    {
        var result = authClient.AuthorizeUser(userName, password);
        if (result == null) return BadRequest("invalid login");
        var claims = new List<Claim>();
        foreach (var r in result)
        {
            claims.Add(new Claim(r.Key, r.Value));
        }
        claims.Add(new Claim(ClaimTypes.Name, "usernameHere")); // this can be later accessed using User.Identity.Name
        claims.Add(new Claim(ClaimTypes.NameIdentifier, "userId"));
        string token = HttpContext.GenerateBearerToken(claims);
        return token;
    }

}

最后，为了让你的 API 只能被授权和使用，请确保包含 [Authorize]在每个 Controller 的顶部。