- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我们尝试在我们的 Blazor-WebAssembly 应用中通过 Cookie 实现身份验证。
Controller :设置 Auth-Cookie:
[Route("[controller]")]
[ApiController]
public class AuthController : ControllerBase
{
[HttpPost]
public async Task<AdUser> Login(Credentials pCredentials)
{
// [...] credential check jere
var lClaims = new List<Claim> {
new Claim(ClaimTypes.Name, "SamAccountName"),
};
var lClaimsIdentity = new ClaimsIdentity(lClaims, CookieAuthenticationDefaults.AuthenticationScheme);
// set cookie
await HttpContext.SignInAsync(
CookieAuthenticationDefaults.AuthenticationScheme,
new ClaimsPrincipal(lClaimsIdentity),
new AuthenticationProperties
{
IsPersistent = true,
ExpiresUtc = DateTime.UtcNow.AddYears(1),
RedirectUri = this.Request.Host.Value
});
// [...]
}
}
当我查看边缘浏览器的开发人员工具时,我发现 cookie 已设置:
现在下面的 Controller
有一个 Search-Action 并且应该通过添加 [Authorize] 属性来限制访问:
[Route("[controller]")]
[ApiController]
public class ClientsController : ControllerBase
{
[HttpGet("search")]
[Authorize]
public ActionResult<List<Shared.Client>> Search(string pText)
{
// [...] Code here
return lResult;
}
}
当我对 ClientsController 执行 HTTP 请求 /Clients?search=My Search Text
时,Edge 的开发人员工具向我显示了对 /Account 的请求/登录
。这让我感到困惑,因为响应代码是 200,但我的项目中不存在帐户 Controller 。
为什么我的身份验证 Cookie 不能针对 [Authorize]
属性工作?
关于我的配置的一些进一步细节:
Startup.cs(服务器端)
namespace BlazorWebAssemblyApp.Server
{
public class Startup
{
/// [...]
public void ConfigureServices(IServiceCollection services)
{
// [...]
services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie(); // This line is required for the authentication cookie
// [...]
}
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
// [...]
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapRazorPages();
endpoints.MapControllers();
endpoints.MapFallbackToFile("index.html");
});
}
}
最佳答案
如果您在使用 cookie 身份验证方案显式登录后发现用户在以后的请求中无法被识别,则表明您没有正确配置身份验证中间件。作为per the docs ,您不仅必须使用 services.AddAuthentication(...)
添加身份验证服务,还必须配置身份验证中间件作为请求管道的一部分运行。这通常看起来像这样:
app.UseRouting();
// add the call to `UseAuthentication`
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
通过将 UseAuthentication()
调用添加到中间件中,您将导致默认身份验证方案(在您的情况下为 cookie 方案)尝试对用户进行身份验证。这确保如果请求中有身份验证 cookie,那么它将用于对用户进行身份验证,无论您是否要访问授权路由。
一旦中间件运行,仅受 [Authorize]
属性保护的操作也将起作用,因为 cookie 方案的身份验证已经发生(因为它是默认方案)。
否则,如果默认情况下不调用中间件,则需要确保在需要访问用户信息时始终显式调用身份验证方案。这就是 [Authorize(AuthenticationSchemes = "scheme-name")]
所做的:在 authorization 运行之前,它将尝试验证指定的方案。 – 如果您使用身份验证中间件并且具有正确的默认方案,那么您可以跳过此步骤,因为该方案将默认进行身份验证。
在您的原始代码中,没有运行身份验证,这也解释了您被重定向的原因:由于身份验证方案未运行以对用户进行身份验证,因此没有登录用户(即使用户有一 block cookies )。因此,当用户被授权时,那里没有用户,您将被重定向到登录页面。
/Account/Login
?cookie 身份验证方案涉及在需要身份验证(例如通过 [Authorize]
属性)但用户还没有身份验证 cookie 时将用户重定向到登录页面。在这种情况下,身份验证将受到“挑战”,对于 cookie 方案而言,这意味着用户将被重定向到他们应该登录的登录页面。
默认情况下,登录页面的路由配置为/Account/Login
。当您使用 ASP.NET Core Identity 时,此默认值与默认行为相匹配。您可以通过更改 CookieAuthenticationOptions.LoginPath
轻松配置此路由以匹配您的实际登录页面.例如,您可以使用 AddCookie()
调用来做到这一点:
services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
.AddCookie(options =>
{
options.LoginPath = "/Auth/Login"; // using the AuthController instead
});
现在,当用户受到挑战时,他们将被重定向到您的 AuthController.Login
操作,而不是他们应该登录的地方。
请注意,cookie 方案将向登录操作添加一个请求参数 ReturnUrl
,其中包含用户最初尝试访问的页面的路径。例如。当访问您的搜索操作时,他们将被重定向到 /Auth/Login?ReturnUrl=%2FClients%2Fsearch
。所以你应该接受这个路由参数并在登录完成后返回到那个路由,例如:
[HttpPost]
public async Task<IActionResult> Login(Credentials pCredentials, string returnUrl)
{
// do login
return LocalRedirect(returnUrl);
}
您还可以通过更改 CookieAuthenticationOptions.ReturnUrlParameter
将参数 ReturnUrl
的名称更改为任何您喜欢的名称.
关于c# - 为什么 Authentication Cookie 对 [Authorize] 属性不起作用?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63188383/
在我的主要组件中,我有: mounted() { window.$cookie.set('cookie_name', userName, expiringTime); }, 这会产生以下错误:
我正在学习 cookie,并且我想知道在编写依赖 cookie 来存储状态的 Web 应用程序时浏览器的支持情况。 对于每个域/网站,可以向浏览器发送多少个 Cookie,大小是多少? 如果发送并存储
我已经为我的站点设置了一个 cdn,并将其用于 css、js 和图像。 网站只提供那些文件 我的问题是 firefox 中的页面速度插件对于我的图片请求,我看到了一个 cookie Cookie fc
在阅读了 Internet 上的文档和帖子后,我仍然无法解决 jMeter 中的 Cookie Manager 问题。 我在响应头中得到了 sid ID,但它没有存储在我的 cookie 管理器中。
我正在 Node.JS 中处理一些类似浏览器的 cookie 处理,想知道从 NodeJS and HTTP Client - Are cookies supported? 开始对这段代码进行扩展到什
我正在此堆栈上构建自托管 Web 服务器:欧文南希网络 API 2 我正在使用 Katana 的 Microsoft.Owin.Security.Cookies 进行类似表单的身份验证。我得到了 Se
我有一个从另一个网站加载资源的网站。我已经能够确定: 第三方网站在用户的浏览器上放置 cookie。 如果我在浏览器设置中禁用第三方 cookie,第三方网站将无法再在浏览器上放置 cookie。 该
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
我正在使用 python mechanize 制作登录脚本。我已经读到 Mechanize 的 Browser() 对象将自动处理 cookie 以供进一步请求。 我怎样才能使这个 cookie 持久
我正在尝试在 www.example.com 和 admin.other.example.com 之间共享 cookie 我已经能够使其与 other.example.com 一起使用,但是无法访问子
我设置了一个域为 .example.com 的 cookie .它适用于我网站上的每个一级子域,应该如此。 但是,它不适用于 n 级子域,即 sub.subdomain.example.com和 to
我想让用户尽可能长时间地登录。 我应该使用什么? 普通 cookies 持久性 cookie 快闪 cookies ip地址 session 或这些的某种组合? 最佳答案 我认为 Flash cook
如果给定的 Web 服务器只能读取其域内设置的 cookie,那么 Internet 广告商如何从其网络外的网站跟踪用户的 Web 流量? 是否存在某种“supercookie”全局广告系统,允许广告
我知道一个 cookie 可以容纳多少数据是有限制的,但是我们可以设置多少个 cookie 有限制吗? 最佳答案 来自 http://www.ietf.org/rfc/rfc2109.txt Prac
如果我拒绝创建 cookie,则在我的浏览器中创建名称为 __utma、__utmb 等的 cookie。我认为这个 cookie 是用于谷歌分析的。任何人都知道谷歌如何创建这个 cookie,即使浏
我有一个生产环境和一个登台环境。我想知道我是否可以在环境之间沙箱 cookie。我的设置看起来像 生产 domain.com - 前端 SPA api.domain.com - 后端节点 分期 sta
我想知道浏览器(即 Firefox )和网站的交互。 当我将用户名和密码提交到登录表单时,会发生什么? 我认为该网站向我发送了一些 cookie,并通过检查这些 cookie 来授权我。 cookie
我在两个不同的域中有两个网络应用程序 WebApp1 和 WebApp2。 我在 HttpResponse 的 WebApp1 中设置 cookie。 如何从 WebApp2 中的 HttpReque
我正在使用Dartium“Version 34.0.1847.0 aura(264987)”,并从Dart创建一个websocket。但是,如果不是httpOnly,我的安全 session cook
我从 Headfirst Javascript 书中获取了用于 cookie 的代码。但由于某种原因,它不适用于我的浏览器。我主要使用chrome和ff,并且我在chrome中启用了本地cookie。
我是一名优秀的程序员,十分优秀!