Översikt över ASP.NET Core-autentisering

Av Mike Rousos

Autentisering är en process för att fastställa en användares identitet. Authorization är processen för att avgöra om en användare har åtkomst till en resurs. I ASP.NET Core hanteras autentiseringen av autentiseringstjänsten IAuthenticationService, som används av autentisering mellanprogram. Autentiseringstjänsten använder registrerade autentiseringshanterare för att slutföra autentiseringsrelaterade åtgärder. Exempel på autentiseringsrelaterade åtgärder är:

• Autentisera en användare.
• Svarar när en oautentiserad användare försöker komma åt en begränsad resurs.

De registrerade autentiseringshanterare och deras konfigurationsalternativ kallas "scheman".

Autentiseringsscheman anges genom registrering av autentiseringstjänster i Program.cs:

• Genom att anropa en schemaspecifik tilläggsmetod efter ett anrop till AddAuthentication, till exempel AddJwtBearer eller AddCookie. Dessa tilläggsmetoder använder AuthenticationBuilder.AddScheme för att registrera scheman med lämpliga inställningar.
• Det är mindre vanligt att anropa AuthenticationBuilder.AddScheme direkt.

Följande kod registrerar till exempel autentiseringstjänster och hanterare för cookie- och JWT-ägarautentiseringsscheman:

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme,
        options => builder.Configuration.Bind("JwtSettings", options))
    .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme,
        options => builder.Configuration.Bind("CookieSettings", options));

Parametern AddAuthenticationJwtBearerDefaults.AuthenticationScheme är namnet på det schema som ska användas som standard när ett visst schema inte begärs.

Om flera scheman används kan auktoriseringsprinciper (eller auktoriseringsattribut) ange autentiseringsschemat (eller scheman) de är beroende av för att autentisera användaren. I exemplet ovan kan det cookie autentiseringsschemat användas genom att ange dess namn (CookieAuthenticationDefaults.AuthenticationScheme som standard, även om ett annat namn kan anges när du anropar AddCookie).

I vissa fall görs anropet till AddAuthentication automatiskt av andra tilläggsmetoder. När du till exempel använder ASP.NET Core Identityanropas AddAuthentication internt.

Mellanprogrammet Autentisering läggs till i Program.cs genom att anropa UseAuthentication. Anrop till UseAuthentication registrerar det mellanprogrammet som använder de tidigare registrerade autentiseringsschemana. Anropa UseAuthentication innan mellanprogram som är beroende av att användare autentiseras.

Autentiseringsbegrepp

Autentiseringen ansvarar för att tillhandahålla ClaimsPrincipal för auktorisering att fatta behörighetsbeslut mot. Det finns flera autentiseringsschemametoder för att välja vilken autentiseringshanterare som ansvarar för att generera rätt uppsättning anspråk:

• autentiseringsschema
• Standardautentiseringsschemat, som beskrivs i de kommande två avsnitten.
• Ange direkt HttpContext.User.

När det bara finns ett enda autentiseringsschema registrerat blir det standardschemat. Om flera scheman har registrerats och standardschemat inte har angetts måste ett schema anges i attributet auktorisera, annars utlöses följande fel:

InvalidOperationException: Inget autentiseringsschema har angetts och det gick inte att hitta något standardautentiseringsschema. Standardscheman kan anges med antingen AddAuthentication(string defaultScheme) eller AddAuthentication(Action<AuthenticationOptions> configureOptions).

DefaultScheme

När det bara finns ett enda autentiseringsschema registrerat är det enda autentiseringsschemat:

• Används automatiskt som DefaultScheme.
• Eliminerar behovet av att ange DefaultScheme i AddAuthentication(IServiceCollection) eller AddAuthenticationCore(IServiceCollection).

Om du vill inaktivera automatiskt med hjälp av det enskilda autentiseringsschemat som DefaultSchemeanropar du AppContext.SetSwitch("Microsoft.AspNetCore.Authentication.SuppressAutoDefaultScheme").

Autentiseringsschema

Det autentiseringsschemat kan välja vilken autentiseringshanterare som ansvarar för att generera rätt uppsättning anspråk. Mer information finns i Auktorisera med ett visst schema.

Ett autentiseringsschema är ett namn som motsvarar:

• En autentiseringshanterare.
• Alternativ för att konfigurera den specifika instansen av hanteraren.

Scheman är användbara som en mekanism för att syfta på den associerade hanterarens autentisering, utmaning och förbjud beteende. En auktoriseringsprincip kan till exempel använda schemanamn för att ange vilket autentiseringsschema (eller scheman) som ska användas för att autentisera användaren. När du konfigurerar autentisering är det vanligt att ange standardautentiseringsschemat. Standardschemat används såvida inte en resurs begär ett specifikt schema. Det är också möjligt att:

• Ange olika standardscheman som ska användas för autentisera, utmana och förbjuda åtgärder.
• Kombinera flera scheman till ett med hjälp av principscheman.

Autentiseringshanterare

En autentiseringshanterare:

• Är en typ som implementerar beteendet för ett schema.
• Härleds från IAuthenticationHandler eller AuthenticationHandler<TOptions>.
• Har det primära ansvaret för att autentisera användare.

Baserat på autentiseringsschemats konfiguration och kontexten för den inkommande begäran, hanterar autentiseringshanterare:

• Skapa AuthenticationTicket objekt som representerar användarens identitet om autentiseringen lyckas.
• Returnera "inget resultat" eller "fel" om autentiseringen misslyckas.
• Ha metoder för att utmana och förbjuda åtgärder för när användare försöker komma åt resurser:
  • De är obehöriga att ha tillgång till (förbjudna).
  • När de inte autentiseras (utmaning).

RemoteAuthenticationHandler<TOptions> jämfört med AuthenticationHandler<TOptions>

RemoteAuthenticationHandler<TOptions> är klassen för autentisering som kräver ett steg för fjärrautentisering. När fjärrautentiseringssteget är klart anropar hanteraren tillbaka till CallbackPath som angetts av hanteraren. Hanterare slutför autentiseringssteget med informationen som överförs till återanropsvägen HandleRemoteAuthenticateAsync. OAuth 2.0 och OIDC båda använder det här mönstret. JWT och cookies gör det inte eftersom de kan använda bärarhuvudet och cookie direkt för att autentisera. Den fjärranslutna providern i det här fallet:

• Detta är autentiseringsleverantören.
• Exempel är Facebook, Twitter, Google, Microsoftoch andra OIDC-leverantörer som hanterar autentisering av användare med hjälp av hanteringsmekanismen.

Autentisera

Autentiseringsschemats autentiseringsåtgärd ansvarar för att konstruera användarens identitet baserat på begärandekontext. Den returnerar en AuthenticateResult som anger om autentiseringen lyckades och i så fall användarens identitet i en autentiseringsbiljett. Se AuthenticateAsync. Exempel på autentisering inkluderar:

• Ett cookie autentiseringsschema som konstruerar användarens identitet från cookies.
• Ett JWT-ägarschema som deserialiserar och validerar en JWT-ägartoken för att konstruera användarens identitet.

Utmaning

En autentiseringsutmaning anropas av auktorisering när en oautentiserad användare begär en slutpunkt som kräver autentisering. En autentiseringsutmaning utfärdas, till exempel när en anonym användare begär en begränsad resurs eller följer en inloggningslänk. Auktorisering initierar en utmaning med de angivna autentiseringsschemana, eller standardvärdet om inget anges. Se ChallengeAsync. Exempel på autentiseringsutmaningar är:

• Ett cookie autentiseringsschema som omdirigerar användaren till en inloggningssida.
• Ett JWT-ägarschema som returnerar ett 401-resultat med en www-authenticate: bearer rubrik.

En utmaningsåtgärd bör låta användaren veta vilken autentiseringsmekanism som ska användas för att få åtkomst till den begärda resursen.

Förbjuda

Ett autentiseringsschemas förbjudna åtgärd anropas av auktorisering när en autentiserad användare försöker komma åt en resurs som de inte har åtkomst till. Se ForbidAsync. Exempel på förbjuden autentisering är:

• Ett cookie autentiseringsschema som omdirigerar användaren till en sida som anger att åtkomsten var förbjuden.
• Ett JWT-bäraresystem som returnerar en 403-statuskod.
• Ett anpassat autentiseringsschema omdirigeras till en sida där användaren kan begära åtkomst till resursen.

En förbjuden åtgärd kan meddela användaren:

• De är autentiserade.
• De har inte behörighet att komma åt den begärda resursen.

Se följande länkar för skillnaderna mellan utmaning och förbjuda.

• Utmana och förbjud med en operativ resurshanterare.
• Skillnader mellan utmaning och förbud.

Autentiseringsleverantörer per hyresgäst

ASP.NET Core har ingen inbyggd lösning för autentisering för flera hyresgäster. Fastän det är möjligt för kunder att skriva en med hjälp av de inbyggda funktionerna rekommenderar vi att kunderna överväger Orchard Core, ABP Frameworkeller Finbuckle.MultiTenant för multitenant autentikering.

Orchard Core är:

• Ett ramverk för appar med öppen källkod, som är modulärt och flervärdsanpassat, byggt med ASP.NET Core.
• Ett innehållshanteringssystem (CMS) som bygger på det appramverket.

Se Orchard Core- källa för ett exempel på autentiseringsprovidrar per klientorganisation.

ABP Framework stöder olika arkitekturmönster, inklusive modularitet, mikrotjänster, domändriven design och flera innehavare. Se ABP Framework-källa på GitHub.

Finbuckle.MultiTenant:

• Öppen källkod
• Tillhandahåller hyresgästlösning
• Lättvikt
• Tillhandahåller dataisolering
• Konfigurera appbeteende unikt för varje klientorganisation

Ytterligare resurser

• Auktorisera med ett specifikt schema i ASP.NET Core
• Principscheman i ASP.NET Core
• Skapa en ASP.NET Core-app med användardata som skyddas av auktorisering
• globalt kräver autentiserade användare
• GitHub-problem med att använda flera autentiseringsscheman