使用 cookie 的身份验证和授权

前言

在上一章 学学 dotnet core 中的身份验证和授权-1-概念 中，我们大致明白了身份验证和授权两者的关系。那么在本文中，我们将使用 cookie 来做一个简单的身份验证和授权。

本文中我使用的是 .net core6，并用 MiniApi 的方式编写。

下发凭证

在上一章中，我们得知客户端必须先从服务器上得到凭证，才能够这个凭证去进行身份验证和授权。所以我们的第一步就是：从服务器得到凭证。

这种下发凭证的接口一般是登录接口，所以，我们来弄一个登录的接口吧。

在 MiniApi 中写一个 Login 接口：

app.MapPost("/login", ( /* 省略登录参数 */ ) => {
    //  省略登录步骤
    //  假设登录成功后
    return Results.Ok();
});

请注意，在本文中重点是介绍身份验证和授权，所以像上面的登录接口，我会省略掉登录的代码，着重在登录成功后如何下发凭证上。

在登录成功后，我们便可以将证明当前用户身份的声明，下发到客户端。所以我们要先有声明，然后再使用 cookie 的方式来下发它。

app.MapPost("/login", async (HttpContext context /* 省略登录参数 */) =>
{
    //  省略登录步骤，假设登录成功后

    //  定义声明
    var claims = new List<Claim>
    {
        new Claim(ClaimTypes.Name, "张三"),
        new Claim("核酸", "24")
    };
    var claimsIdentity = new ClaimsIdentity(
        claims, CookieAuthenticationDefaults.AuthenticationScheme);
    var claimsPrincipal = new ClaimsPrincipal(claimsIdentity);

    //  下发
    await context.SignInAsync(
        CookieAuthenticationDefaults.AuthenticationScheme,
        claimsPrincipal);

    return Results.Ok();
});

如上面代码，定义声明，其实就是写一个声明列表，将要用的声明都装进去。在下发的时候，我们是下发一个证件包。就像我们上一章讲到的，多个条目组合成一个证件，多个证件组合成一个证件包。

有了证件包后，要怎么下发凭证呢？通过调用 SignInAsync 方法。这个方法在 HttpContext 中，所以要先注入 HttpContext 才能使用。在我们的例子中，我们给 SignInAsync 方法传递了两个参数，一个是你的身份验证策略名，一个是你要下发的证件包。

但是我们还没有定义任何身份验证策略呢，如果现在直接去调用的话，你会发现程序是会报错的。所以我们要定义一个身份验证策略，在下发凭证的时候，就使用这个策略下发。

定义身份验证策略

net core 中有一些内置的身份验证策略，cookie 就是其中之一。我们使用起来也非常简单：

builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
   .AddCookie();
//  要在 Build 之前加
var app = builder.Build();

你看就这么简单两句话，重点是 AddAuthentication 方法中的参数是一个策略名，你可以用任何字符串，但是要跟我们在下发时使用的策略名是一样的。在这里是因为有这么个常量可以用。然后后面跟着的 AddCookie() 方法，表示来使用 cookie 来进行身份验证。

如果你要对 cookie 有其他的设置，比如设定过期时间，就可以在 AddCookie 的参数里进行设置，如下：

builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
   .AddCookie(options =>
   {
       options.ExpireTimeSpan = TimeSpan.FromDays(1);
       options.SlidingExpiration = true;
   });

还有很多设置，课后慢慢研究。

现在我们再来运行项目，然后请求这个登录接口 /login，成功的话响应会返回 cookie：

我们的凭证就存放在这个 cookie 当中，你看，是加密的。客户端拿到了凭证了。

拿到了凭证还不够，我们要在请求时携带上凭证，经过身份验证程序，得出凭证里的声明。这时就需要使用到我们的身份验证中间件。

身份验证中间件

我们在适当的地方添加身份验证中间件 UseAuthentication()，要在 Build() 之后，UseAuthorization() 之前。

var app = builder.Build();
//  Build() 之后
//  添加身份验证中间件
app.UseAuthentication();
//  UseAuthorization() 之前
app.UseAuthorization();

UseAuthentication() 这个中间件将会对我们的请求进行处理，并解析出里面的声明。

加上这个中间件后，我们再添加一个登出接口，注入 HttpContext：

app.MapGet("/logout", (HttpContext context) =>
{
    var user = context.User;
    return Results.Ok();
});

携带上凭证请求这个接口，你就可以在 HttpContext 的 User 字段中得到声明。

调试如下:

可以看到正是我们在登录时装进去的声明。

声明拿到了，我们要怎么使用这个声明进行授权处理呢？

基于声明的授权策略

我们要告诉授权程序要怎么判断，就是写一个授权策略。

在 Build() 之前，添加如下服务：

builder.Services.AddAuthorization(options =>
{
    options.AddPolicy("Need24", policy =>
    {
        policy.RequireAssertion(context =>
        {
            return true;
        });
    });
});

我们通过 AddAuthorization 添加授权，然后通过参数 options 添加授权策略。在上面的代码中，我们通过 options.AddPolicy 添加了一个名为 "Need24" 的策略。该策略的具体内容是什么呢？在该策略的参数中，我们通过 policy.RequireAssertion 方法指定该策略的内容，这个方法接收一个函数，这个函数通过返回 true 或 false 来指示授权是否通过。

在上面的代码中，直接返回了 true。但是我们是要自己定策略的，我们要规定只有叫张三的，持有 24 核酸的才能通过。我们知道这两个条件可以在声明中获得，那么把代码改成这样：

builder.Services.AddAuthorization(options =>
{
    options.AddPolicy("Need24", policy =>
    {
        policy.RequireAssertion(context =>
        {
            //  获取声明
            var claims = context.User.Claims;
            //  判断声明
            if (claims.FirstOrDefault(t => t.Type == ClaimTypes.Name)?.Value == "张三"
                &&
                claims.FirstOrDefault(t => t.Type == "核酸")?.Value == "24")
            {
                return true;
            }
            return false;
        });
    });
});

当然啦我们不一定要使用 RequireAssertion 函数，还有其他的函数来根据情况使用，课后慢慢研究。

到了这里，我们就添加了一个名为 "Need24" 的授权策略，接下来，我们要指示这个策略要用在哪个接口上。

我们要用在登出接口 /logout 上，只需要在它的方法前加上 [Authorize("Need24")] 即可，如下：

app.MapGet("/logout", [Authorize("Need24")] (HttpContext context) =>
{
    var user = context.User;
    return Results.Ok();
});

如此，这个接口便会使用名为 "Need24" 的授权策略。

最后，添加 UseAuthorization() 中间件，千万要注意，授权中间件要添加在身份验证中间件之后。

app.UseAuthentication();
app.UseAuthorization();

测试

到这里，一整个 cookie 身份验证和授权的流程就搭完了，我们启动项目，清楚客户端的 cookie，在没有携带 cookie 的情况下去请求 /logout 接口。因为没有携带 cookie，也就没有携带凭证，而 /logout 接口是需要授权的，所以，意料之中的这个接口是请求不成功的。

由于是 Get 请求，所以我们可以直接在浏览器中导航到 /logout 来查看情况。

但是请求后，你应该会很奇怪地来到这个页面：

为什么会是 404 呢？再看地址栏，变成了 /Account/Login?ReturnUrl=%2Flogout，这又是为什么？

这是因为 cookie 的授权，如果不通过，会重定向到一个地址，这个地址默认是 /Account/Login。我们是可以在 AddCookie() 中修改这个地址的。因为我们没有 /Account/Login 这个接口，所以是 404。这也说明了我们的授权策略起效了。

接下来，我们先请求登录接口，该接口会返回包含我们声明的 cookie。然后我们再携带上 cookie 请求登出接口，此时应该是返回了 200 的。这说明我们的身份验证和授权生效了。

总结

本文中指示简单介绍了 cookie 的身份验证和授权的用法。使用 cookie，在实际情况中还会遇到很多问题，如：跨域的情况。所以 cookie 使用得也并不多。

在下一篇中，我将介绍常用的 JWT 验证。

参考连接

• Use cookie authentication without ASP.NET Core Identity