asp.net core2 mvc 基础教程--cookie 身份认证

Authentication 和 Authorization

Authentication：认证。

Authorization：授权。

简单来说，认证是用来证明一个人的身份，比如说他是一个学生，一个老师，一个boss，那么就需要这么一个认证。授权是用来表示这个用户能做什么事情，比如admin可以修改删除数据，normal user只能查看数据。

注册服务

public void ConfigureServices(IServiceCollection services)
{
//注册Cookie认证服务
 services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
.AddCookie(options =>
            {
                options.Cookie.HttpOnly = true;
                options.LoginPath = "/login";
                options.ExpireTimeSpan = TimeSpan.FromDays(1);
            });
}

在addcookie 中 CookieAuthenticationOptions 来设置相关的选项

选项	描述
AccessDeniedPath	当HttpContext.ForbidAsync触发302时的跳转地址，默认/Account/AccessDenied
ClaimsIssuer	用于设置 cookie 的Issuer 属性。
Cookie.Domain	cookie的有效域。默认是请求的服务器名。浏览器只会给符合的服务器发送 cookie。你可能会希望设置这个值来调整他的作用域。举个例子，设置成.contoso.com他的作用域就包括contoso.com,www.contoso.com,staging.www.contoso.com等。
Cookie.Expiration	获取或设置cookie的有效期。core 2.1+不建议使用。建议是使用ExpireTimeSpan来设置 cookie 的失效时间。
Cookie.HttpOnly	设置 cookie 是否是只能被服务器访问，默认 true，可以设置成 false 给客户端js 脚本访问，但是有可能会造成XSS（跨站脚本攻击）。
Cookie.Name	cookie 的名字。
Cookie.Path	用来隔离同一个服务器下面的不同站点。比如站点是运行在/app1下面，设置这个属性为/app1，那么这个 cookie 就只在 app1下有效。
Cookie.SameSite	表示浏览器是否允许 cookie 被附加到相同的站点。有几种枚举：SameSiteMode.Strict，只允许相同的站点。SameSiteMode.Lax允许以安全的 http方式附加到不同站点或相同站点。为了支持 OAuth 认证，需要设置成SameSiteMode.Lax。
Cookie.SecurePolicy	设置是否只允许 https。
DataProtectionProvider	用于设置创建TicketDataFormat（在表格最后）
Events	设置一些时间的处理程序。比如OnSignedIn,OnSigningOut等，默认是不做任何操作。
EventsType	Events的类型。
ExpireTimeSpan	设置存储在 cookie 里面的认证票据的过期时间。服务端会验证加密的 ticket 的有效性。在设置了IsPersistent之后也能在 Set-Cookie 头里面返回。默认的过期时间是14天。
LoginPath	HttpContext.ChallengeAsync方法触发302跳转时候的地址。假设设置成/account/login,比如当前访问/secure 返回401，那么会跳转地址/account/login?returnUrl=/secure,当 login 页面生成一个新的登录身份之后，浏览器会跳转到 secure 页面。默认值是/Account/login
LogoutPath	登出地址。
ReturnUrlParameter	登录或登出之后页面可以做一个跳转，这个跳转地址作为一个参数传过去，这个就用来设置这个参数的名字。
SessionStore	用来保存跨站点请求的身份信息。设置了之后只有 session 的标识符会发送到客户端。当身份标识比较多的时候可以用。
SlidingExpiration	滑动过期。标识一个有新的过期时间的新 cookie是否可以被动态的分发。可以在SignInAsync方法里面使用AuthenticationProperties。使用绝对的 cookie 有效期时间来增加应用的安全性。举个例子：```await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme,

创建一个认证 cookie

创建一个包含用户信息的 cookie需要构造一个ClaimsPrincipal。用户信息会被序列化然后保存在cookie 里面。

用必要的 Claim来构造一个ClaimsIdentity，然后调用 SignInAsync 方法。

var claims = new List<Claim>
{
    new Claim(ClaimTypes.Name, user.Email),
    new Claim("FullName", user.FullName),
    new Claim(ClaimTypes.Role, "Administrator"),
};

var claimsIdentity = new ClaimsIdentity(
    claims, CookieAuthenticationDefaults.AuthenticationScheme);

var authProperties = new AuthenticationProperties
{
    //AllowRefresh = <bool>,
    // Refreshing the authentication session should be allowed.

    //ExpiresUtc = DateTimeOffset.UtcNow.AddMinutes(10),
    //cookie 的绝对过期时间，会覆盖ExpireTimeSpan的设置。

    //IsPersistent = true,
    //表示 cookie 是否是持久化的以便它在不同的 request 之间传送。设置了ExpireTimeSpan或ExpiresUtc是必须的。

    //IssuedUtc = <DateTimeOffset>,
    //  凭证认证的时间。

    //RedirectUri = <string>
    //http 跳转的时候的路径。
};

await HttpContext.SignInAsync(
    CookieAuthenticationDefaults.AuthenticationScheme, 
    new ClaimsPrincipal(claimsIdentity), 
    authProperties);

 部分知识转载于https://www.cnblogs.com/sheldon-lou/p/9545726.html

更多知识看官方文档https://docs.microsoft.com/zh-cn/aspnet/core/security/authentication/cookie?view=aspnetcore-2.1&tabs=aspnetcore2x