asp.net-core - 如何在 ASP.Net Core 2 Web 应用程序上获取 CurrentPrincipal 身份？

Question

我创建了一个 Azure AD B2C 租户 以与 Azure Functions 一起使用。我用过这个并且它正在工作:

Thread.CurrentPrincipal.Identity.IsAuthenticated

现在我试图让用户登录，在 ASP Net Core 2 网站 Razor 页面 Index.cshtml.cs 中使用相同的调用

>

    public void OnGet()
    {
        var isAuth = Thread.CurrentPrincipal.Identity.IsAuthenticated;
        ClaimsPrincipal cp = (ClaimsPrincipal)Thread.CurrentPrincipal;
    }

但是Thread.CurrentPrincipal 在 ASP Net Core 2 上返回 null

在 Startup.cs 的 ConfigureServices 方法中我添加了

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvc();
        //services.AddAuthentication();
        services.AddAuthentication(options =>
        {
            options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
        })
        .AddJwtBearer(options =>
        {
            options.RequireHttpsMetadata = false;
            options.Audience = Configuration["Authentication:AzureAd:ClientId"];
            //options.Events = new JwtBearerEvents
            //{
            //    OnAuthenticationFailed = AuthenticationFailed
            //};
            var authorityBase = string.Format("https://login.microsoftonline.com/tfp/{0}/", "empresateste123.onmicrosoft.com"/*Configuration["Authentication:AzureAd:Tenant"]*/);

            options.Authority = string.Format("{0}{1}/v2.0/", authorityBase, "B2C_1_policysignin " /*Configuration["Authentication:AzureAd:Policy"]*/);

        });

    }

在 Startup.cs 的Configure 方法中我添加了

app.UseAuthentication();

当我发布并转到 URL 时，该异常发生在该行:

An unhandled exception occurred while processing the request.
NullReferenceException: Object reference not set to an instance of an object.

如果我用

    public void OnGet()
    {
        //var isAuth = Thread.CurrentPrincipal.Identity.IsAuthenticated;
        //ClaimsPrincipal cp = (ClaimsPrincipal)Thread.CurrentPrincipal;

        var u = this.User;
        var uc = u.Claims.ToList();
    }

现在来了，但是Claims.Count = 0，没有用户信息

我还需要添加什么才能让它发挥作用？

Answer 1

使用 PageModel.User 返回代表当前 web 应用程序用户 的 ClaimsPrincipal 对象。 Thread.CurrentPrincipal 不应用于获取当前网络应用程序用户，因为 Thread.CurrentPrincipal 涉及由 .NET(可能还有操作系统)管理的线程安全。

ASP.NET，从 2001 年的早期开始(ab)通过用当前的 ASP.NET“用户”覆盖 Thread.CurrentPrincipal 来使用 .NET 的这个特性 - 这有当它在使用 Windows 身份验证的身份模拟上下文中使用时具有实际好处，允许 Web 应用程序访问安全受限的文件、网络资源和操作系统功能，否则它无法访问。

这篇 2004 年的文章给出了很好的解释(忽略对现已过时的 FormsAuthentication 模块的引用):https://www.hanselman.com/blog/SystemThreadingThreadCurrentPrincipalVsSystemWebHttpContextCurrentUserOrWhyFormsAuthenticationCanBeSubtle.aspx - 文章还解释了为什么 Thread.CurrentPrincipal 可能是 null，例如，当在 HttpApplication.OnThreadEnter() 之前调用应用程序代码时(设置CurrentPrincipal 属性)被调用。

我不太熟悉 Razor-Pages 的生命周期(自 2017 年底以来 ASP.NET Core 中的一项新功能)或安全系统如何在 Azure Functions 和 Azure AppService(又名 Azure 网站)上下文中发生变化。

无论如何，解决方法是在 ASP.NET 中始终使用 User 属性而不是 Thread.CurrentPrincipal。

• 在 ASP.NET Web 窗体中，使用 System.Web.HttpContext::User(或 System.Web.UI.Page::User)
• 在 ASP.NET MVC 中，使用 System.Web.Mvc.Controller::User
  • ASP.NET MVC(当使用 .aspx View 时)可以使用 System.Web.Mvc.ViewPage::User
  • 使用 Razor View 的 ASP.NET MVC 可以直接在 Razor 代码(继承自 System.Web. WebPages.WebPageRenderingBase::用户)
• 在 ASP.NET Core MVC 中，在 Action 中使用 Microsoft.AspNetCore.Mvc.ControllerBase::User。
• 在 ASP.NET Razor-Pages 中，使用 Microsoft.AspNetCore.Mvc.RazorPages.PageModel::User。