มิดเดิลแวร์การพิสูจน์ตัวตน ASP.NET Core 2.0

Question 1

ด้วย Core 1.1 ตามคำแนะนำของ @ blowdart และใช้มิดเดิลแวร์ที่กำหนดเอง:

https://stackoverflow.com/a/31465227/29821

มันทำงานเช่นนี้:

มิดเดิลแวร์วิ่ง เลือกโทเค็นจากส่วนหัวของคำขอ
ตรวจสอบโทเค็นและหากถูกต้องสร้างข้อมูลประจำตัว (ClaimsIdentity) ที่มีการอ้างสิทธิ์หลายรายการซึ่งเพิ่มผ่าน HttpContext.User.AddIdentity ();
ใน ConfigureServices โดยใช้บริการ AddAuthorization ฉันได้เพิ่มนโยบายเพื่อต้องการการอ้างสิทธิ์ที่มาจากมิดเดิลแวร์
ในตัวควบคุม / การดำเนินการฉันจะใช้ [Authorize (Roles = "some role that the middleware added")]

สิ่งนี้ใช้ได้กับ 2.0 บ้างยกเว้นว่าหากโทเค็นไม่ถูกต้อง (ขั้นตอนที่ 2 ด้านบน) และไม่มีการเพิ่มการอ้างสิทธิ์ฉันได้รับ "ไม่ได้ระบุการตรวจสอบความถูกต้องและไม่พบ DefaultChallengeScheme"

ตอนนี้ฉันกำลังอ่านการรับรองความถูกต้องที่เปลี่ยนแปลงใน 2.0:

https://docs.microsoft.com/en-us/aspnet/core/migration/1x-to-2x/identity-2x

อะไรคือเส้นทางที่ถูกต้องสำหรับฉันในการทำสิ่งเดียวกันใน ASP.NET Core 2.0 ฉันไม่เห็นตัวอย่างในการตรวจสอบสิทธิ์แบบกำหนดเองอย่างแท้จริง

Question 2

ดังนั้นหลังจากพยายามแก้ปัญหานี้มาทั้งวันในที่สุดฉันก็พบว่า Microsoft ต้องการให้เราสร้างตัวจัดการการรับรองความถูกต้องแบบกำหนดเองสำหรับการตั้งค่ามิดเดิลแวร์เดี่ยวใหม่ใน core 2.0

หลังจากดูเอกสารบางส่วนใน MSDN ฉันพบคลาสที่เรียกAuthenticationHandler<TOption>ว่าใช้IAuthenticationHandlerอินเทอร์เฟซ

จากนั้นฉันพบโค้ดเบสทั้งหมดที่มีรูปแบบการตรวจสอบสิทธิ์ที่มีอยู่ที่https://github.com/aspnet/Security

ภายในหนึ่งในนั้นแสดงให้เห็นว่า Microsoft ใช้รูปแบบการรับรองความถูกต้อง JwtBearer อย่างไร ( https://github.com/aspnet/Security/tree/master/src/Microsoft.AspNetCore.Authentication.JwtBearer )

JwtBearerผมคัดลอกที่สุดของรหัสว่ากว่าลงในโฟลเดอร์ใหม่และออกมาเคลียร์ทุกสิ่งที่ต้องทำอย่างไรกับ

ในJwtBearerHandlerชั้นเรียน (ซึ่งขยายออกไปAuthenticationHandler<>) มีการแทนที่สำหรับTask<AuthenticateResult> HandleAuthenticateAsync()

ฉันได้เพิ่มมิดเดิลแวร์เก่าของเราสำหรับการตั้งค่าการอ้างสิทธิ์ผ่านเซิร์ฟเวอร์โทเค็นที่กำหนดเองและยังคงพบปัญหาบางอย่างเกี่ยวกับสิทธิ์เพียงแค่พ่น a 200 OKแทน401 Unauthorizedเมื่อโทเค็นไม่ถูกต้องและไม่มีการตั้งค่าการอ้างสิทธิ์

ฉันตระหนักว่าฉันได้ลบล้างTask HandleChallengeAsync(AuthenticationProperties properties)ซึ่งใช้ในการตั้งค่าการอนุญาตผ่าน[Authorize(Roles="")]ตัวควบคุมด้วยเหตุผลใดก็ตาม

หลังจากลบการลบล้างนี้โค้ดก็ใช้งานได้และประสบความสำเร็จในการโยน401เมื่อสิทธิ์ไม่ตรงกัน

Takeaway ที่หลักจากนี้คือว่าตอนนี้คุณไม่สามารถใช้ตัวกลางที่กำหนดเองคุณต้องใช้มันผ่านAuthenticationHandler<>และคุณจะต้องตั้งค่าDefaultAuthenticateSchemeและเมื่อใช้DefaultChallengeSchemeservices.AddAuthentication(...)

นี่คือตัวอย่างของสิ่งนี้ทั้งหมดควรมีลักษณะดังนี้:

ใน Startup.cs / ConfigureServices () เพิ่ม:

services.AddAuthentication(options =>
{
    // the scheme name has to match the value we're going to use in AuthenticationBuilder.AddScheme(...)
    options.DefaultAuthenticateScheme = "Custom Scheme";
    options.DefaultChallengeScheme = "Custom Scheme";
})
.AddCustomAuth(o => { });

ใน Startup.cs / Configure () เพิ่ม:

app.UseAuthentication();

สร้างไฟล์ใหม่ CustomAuthExtensions.cs

public static class CustomAuthExtensions
{
    public static AuthenticationBuilder AddCustomAuth(this AuthenticationBuilder builder, Action<CustomAuthOptions> configureOptions)
    {
        return builder.AddScheme<CustomAuthOptions, CustomAuthHandler>("Custom Scheme", "Custom Auth", configureOptions);
    }
}

สร้างไฟล์ใหม่ CustomAuthOptions.cs

public class CustomAuthOptions: AuthenticationSchemeOptions
{
    public CustomAuthOptions()
    {

    }
}

สร้างไฟล์ใหม่ CustomAuthHandler.cs

internal class CustomAuthHandler : AuthenticationHandler<CustomAuthOptions>
{
    public CustomAuthHandler(IOptionsMonitor<CustomAuthOptions> options, ILoggerFactory logger, UrlEncoder encoder, ISystemClock clock) : base(options, logger, encoder, clock)
    {
        // store custom services here...
    }
    protected override async Task<AuthenticateResult> HandleAuthenticateAsync()
    {
        // build the claims and put them in "Context"; you need to import the Microsoft.AspNetCore.Authentication package
        return AuthenticateResult.NoResult();
    }
}

Question 3

มีการเปลี่ยนแปลงอย่างมากใน Identity จาก Core 1.x เป็น Core 2.0 ตามบทความที่คุณอ้างอิงชี้ให้เห็น การเปลี่ยนแปลงที่สำคัญคือการหลีกเลี่ยงวิธีการของมิดเดิลแวร์และการใช้การฉีดการพึ่งพาเพื่อกำหนดค่าบริการที่กำหนดเอง สิ่งนี้ให้ความยืดหยุ่นมากขึ้นในการปรับแต่ง Identity สำหรับการใช้งานที่ซับซ้อนมากขึ้น ดังนั้นคุณจึงต้องการหลีกเลี่ยงวิธีการมิดเดิลแวร์ที่คุณกล่าวถึงข้างต้นและมุ่งสู่บริการ ทำตามขั้นตอนการย้ายข้อมูลในบทความที่อ้างอิงเพื่อให้บรรลุเป้าหมายนี้ เริ่มต้นด้วยการเปลี่ยนapp.UseIdentityกับapp.UseAuthentication UseIdentityเป็นค่าเสื่อมราคาและจะไม่รองรับในเวอร์ชันอนาคต สำหรับตัวอย่างที่สมบูรณ์ของวิธีแทรกการเปลี่ยนแปลงการอ้างสิทธิ์ที่กำหนดเองและดำเนินการให้สิทธิ์ในการอ้างสิทธิ์ดูโพสต์บล็อกนี้