c# - 为什么 Authentication Cookie 对 [Authorize] 属性不起作用？-6ren

c# - 为什么 Authentication Cookie 对 [Authorize] 属性不起作用？

转载作者：行者123 更新时间：2023-12-01 21:25:36

我们尝试在我们的 Blazor-WebAssembly 应用中通过 Cookie 实现身份验证。

Controller :设置 Auth-Cookie:

[Route("[controller]")]
[ApiController]
public class AuthController : ControllerBase
{
    [HttpPost]
    public async Task<AdUser> Login(Credentials pCredentials)
    {
        // [...] credential check jere

            var lClaims = new List<Claim> {
                new Claim(ClaimTypes.Name, "SamAccountName"),
            };
            var lClaimsIdentity = new ClaimsIdentity(lClaims, CookieAuthenticationDefaults.AuthenticationScheme);

            // set cookie
            await HttpContext.SignInAsync(
            CookieAuthenticationDefaults.AuthenticationScheme,
            new ClaimsPrincipal(lClaimsIdentity),
            new AuthenticationProperties
            {
                IsPersistent = true,
                ExpiresUtc = DateTime.UtcNow.AddYears(1),
                RedirectUri = this.Request.Host.Value
            });

        // [...]
    }
}

当我查看边缘浏览器的开发人员工具时，我发现 cookie 已设置:

现在下面的 Controller 有一个 Search-Action 并且应该通过添加 [Authorize] 属性来限制访问:

[Route("[controller]")]
[ApiController]
public class ClientsController : ControllerBase
{
    [HttpGet("search")]
    [Authorize]
    public ActionResult<List<Shared.Client>> Search(string pText)
    {
        // [...] Code here
        
        return lResult;
    }
}

当我对 ClientsController 执行 HTTP 请求 /Clients?search=My Search Text 时，Edge 的开发人员工具向我显示了对 /Account 的请求/登录。这让我感到困惑，因为响应代码是 200，但我的项目中不存在帐户 Controller 。

为什么我的身份验证 Cookie 不能针对 [Authorize] 属性工作？

关于我的配置的一些进一步细节:

Startup.cs(服务器端)

namespace BlazorWebAssemblyApp.Server
{
    public class Startup
    {
        /// [...]

        public void ConfigureServices(IServiceCollection services)
        {
            // [...]
            services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie(); // This line is required for the authentication cookie       
            // [...]
        }
    }
    
    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        // [...]

        app.UseAuthorization();

        app.UseEndpoints(endpoints =>
        {
            endpoints.MapRazorPages();
            endpoints.MapControllers();
            endpoints.MapFallbackToFile("index.html");
        });
    }
}

最佳答案

如果您在使用 cookie 身份验证方案显式登录后发现用户在以后的请求中无法被识别，则表明您没有正确配置身份验证中间件。作为per the docs ，您不仅必须使用 services.AddAuthentication(...) 添加身份验证服务，还必须配置身份验证中间件作为请求管道的一部分运行。这通常看起来像这样:

app.UseRouting();

// add the call to `UseAuthentication`
app.UseAuthentication();
app.UseAuthorization();

app.UseEndpoints(endpoints =>
{
    endpoints.MapControllers();
});

通过将 UseAuthentication() 调用添加到中间件中，您将导致默认身份验证方案(在您的情况下为 cookie 方案)尝试对用户进行身份验证。这确保如果请求中有身份验证 cookie，那么它将用于对用户进行身份验证，无论您是否要访问授权路由。

一旦中间件运行，仅受 [Authorize] 属性保护的操作也将起作用，因为 cookie 方案的身份验证已经发生(因为它是默认方案)。

否则，如果默认情况下不调用中间件，则需要确保在需要访问用户信息时始终显式调用身份验证方案。这就是 [Authorize(AuthenticationSchemes = "scheme-name")] 所做的:在 authorization 运行之前，它将尝试验证指定的方案。 – 如果您使用身份验证中间件并且具有正确的默认方案，那么您可以跳过此步骤，因为该方案将默认进行身份验证。

在您的原始代码中，没有运行身份验证，这也解释了您被重定向的原因:由于身份验证方案未运行以对用户进行身份验证，因此没有登录用户(即使用户有一 block cookies )。因此，当用户被授权时，那里没有用户，您将被重定向到登录页面。

为什么会重定向到`/Account/Login`？

cookie 身份验证方案涉及在需要身份验证(例如通过 [Authorize] 属性)但用户还没有身份验证 cookie 时将用户重定向到登录页面。在这种情况下，身份验证将受到“挑战”，对于 cookie 方案而言，这意味着用户将被重定向到他们应该登录的登录页面。

默认情况下，登录页面的路由配置为/Account/Login。当您使用 ASP.NET Core Identity 时，此默认值与默认行为相匹配。您可以通过更改 CookieAuthenticationOptions.LoginPath 轻松配置此路由以匹配您的实际登录页面.例如，您可以使用 AddCookie() 调用来做到这一点:

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
    .AddCookie(options =>
    {
        options.LoginPath = "/Auth/Login"; // using the AuthController instead
    });

现在，当用户受到挑战时，他们将被重定向到您的 AuthController.Login 操作，而不是他们应该登录的地方。

请注意，cookie 方案将向登录操作添加一个请求参数 ReturnUrl，其中包含用户最初尝试访问的页面的路径。例如。当访问您的搜索操作时，他们将被重定向到 /Auth/Login?ReturnUrl=%2FClients%2Fsearch。所以你应该接受这个路由参数并在登录完成后返回到那个路由，例如:

[HttpPost]
public async Task<IActionResult> Login(Credentials pCredentials, string returnUrl)
{
    // do login

    return LocalRedirect(returnUrl);
}

您还可以通过更改 CookieAuthenticationOptions.ReturnUrlParameter 将参数 ReturnUrl 的名称更改为任何您喜欢的名称.

关于c# - 为什么 Authentication Cookie 对 [Authorize] 属性不起作用？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/63188383/

文章推荐： haskell - 对 GADT 和传播约束感到困惑

文章推荐： node.js - 在 Mongoose 中排序

文章推荐： python - 用 NaN 替换数据框列中低于特定阈值的值

authentication - OKHttp Authenticator 401和407以外的自定义http代码
我在服务器端实现了 oauth token ，但在无效 token 或 token 过期时，我收到 200 http 状态代码，但在响应正文中我有{"code":"4XX", "data":{"som
authentication - 未找到 sinatra-authentication 路线
我正在尝试将 sinatra-authentication gem 添加到 Sinatra 应用程序中，虽然它在那里并完成了它的一部分工作，但由于某种原因，路由似乎没有被添加。代码基础: requir
authentication - 移动应用程序 : how do I provide client authentication
我有一个健身移动应用程序的想法，我一直在为 iPhone(基于 Obj-C)、Android(基于 Java)、WebOS(基于 html5)和诺基亚 Qt 开发基于这个想法的应用程序。我现在需要向
authentication - SessionId/Authentication Token 生成最佳实践
我见过有人使用 UUID 生成身份验证 token 。然而，在 RFC 4122据说 Do not assume that UUIDs are hard to guess; they should n
authentication - 如何使用 pouchdb-authentication 检查用户名是否已存在？
上下文如下。 pouchdb-authentication API没有为此提供明确的方法。我考虑过使用db.getUser(username [, opts][, callback]) 。然而，该方法
authentication - Edge 浏览器中的 "Basic authentication"
Edge 浏览器中的“基本身份验证”没有保存密码的选项。当浏览器关闭并重新打开时，用户必须重新输入密码。有没有人解决这个问题？最佳答案它仍然存在并且仍在工作，他们只是从那些对话框窗口中删除了复选
authentication - oAuth Authentication Twitter - 如何自动登录
嗨，我需要知道如何在 iPhone 上使用 oAuth for twitter 自动登录帐户。该应用程序应登录并向用户显示该帐户的提要。最佳答案 OAuthentication 需要几个阶段，您可以
authentication - Edge 浏览器中的 "Basic authentication"
Edge 浏览器中的“基本身份验证”没有保存密码的选项。当浏览器关闭并重新打开时，用户必须重新输入密码。有没有人解决这个问题？最佳答案它仍然存在并且仍在工作，他们只是从那些对话框窗口中删除了复选
authentication - 信箱不可用。服务器响应是 : Authentication Required
关闭。这个问题是off-topic .它目前不接受答案。想改进这个问题吗？ Update the question所以它是on-topic用于堆栈溢出。关闭 10 年前。 Improve thi
authentication - OpenVAS 命令获取 Failed Authentication 错误
在尝试运行一些 OpenVAS CLI 命令时，我收到 Failed Authentication 错误消息。 OpenVAS 安装在 CentOS 机器上。我尝试使用用户帐户凭据，但仍然收到相同的错
restful-authentication - 设计一个 web api : How to authenticate?
我正在设计一个 web api。我需要让用户对自己进行身份验证。我有点犹豫让用户以明文形式传递他们的用户名/密码.. 类似于:api.mysite.com/auth.php?user=x&pass=y
authentication - Spring 安全 : Authentication user manually
我尝试通过 oAuth 在 Spring Security 应用程序中验证用户。我已经收到 token 和用户数据。如何在没有密码和经典登录表单的情况下手动验证用户？谢谢你。最佳答案像这样的东
authentication - Symfony 4 中的 Guard Authenticator
我正在 Symfony 4 中创建一个简单的登录身份验证系统并使用安全组件 Guard。我的 FormLoginAuthenticator 如下: router = $router;
authentication - react 路由器 : Handling role authentication
我正在开发一个具有多个角色的网络应用程序。我想到了一种方法，可以使用 React Router 通过 onEnter 触发器来限制对某些路由的访问。现在我想知道这是否是防止访问未经授权的页面的可靠方
http-authentication - 多个方案的 WWW-Authenticate 的分隔符是什么？
我已通读 RFC 2617如果支持多种方案，则无法在那里或其他任何地方找到分隔符。例如，假设支持 Basic 和 Digest。我知道它可能会以这种方式出现: HTTP/1.1 401 Unautho
authentication - OWIN - Authentication.SignOut() 似乎没有删除 cookie
我在 OWIN Cookie 身份验证方面遇到了一些问题。我有一个 .Net 站点，它有一些 MVC 页面，这些页面使用 cookie 身份验证和受不记名 token 保护的 WebAPI 资源。当
authentication - Telnet 自动化与 Expect : Slow authentication?
我正在使用 Telnet 向 Mikrotik 路由器发送命令。 telnet 192.168.100.100 -l admin Password: pass1234 [admin@ZYMMA] >
authentication - 远程图像嵌入 : how to handle ones that require authentication?
我管理着一个庞大而活跃的论坛，但我们正被一个非常严重的问题所困扰。我们允许用户嵌入远程图像，就像 stackoverflow 处理图像 (imgur) 的方式一样，但是我们没有一组特定的主机，可以使用
authentication - Drools KnowledgeAgent 和 Guvnor : authentication fails
这个真的让我抓狂。我在 JBoss AS 中有一个 Guvnor(稍后会详细介绍)。我编辑了 components.xml 以启用身份验证(使用 JAAS，我已经很好地设置了用户和密码)和基于角色的
authentication - IIS/冷融合 : authentication request on anonymous content
我们有一个管理站点，需要身份验证才能访问。站点上的页面包裹在 Coldfusion 自定义标签中，其中包括所有样式和 JS，以及一些其他信息。我最近制作了一份自定义标签包装器的副本。我将副本放在与原

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城