ASP.NET Core 验证：（二）介绍ASP.NET Core的 Indentity

ASP.NET Core 的身份（Identity）：

• 是一套支持用户界面登录功能的API。
• 其可以管理用户，密码，配置数据，角色，声明，凭证，邮件确认，以及更多信息。

用户可以使用存储在Identity中的登录信息来创建一个账户，或者也可以使用外部的登录提供器。支持的外部登录提供器包括 Facebook，Google，Microsoft Account，and Twitter。

Identity的源代码在github上是开源的，具体可以查看此链接：Identity source code。我们可以使用基架来生成Identity并查看生成的文件，以此来查看生成的模板是如何与Identity交互的。

通常情况下，Identity被配置为使用SQL Server 数据库来存储用户名，密码以及配置数据。作为一个替代方案，另一种持久化存储技术也可以被使用，比如说 Azure Table Storage。

在本章中，你将学习如何使用Identity 来注册，登录以及登出一个用户。关于创建一个使用Identity 的app的更多详细的指导，请看本章节结尾的 “下一步”的内容。

微软身份平台是（Microsoft Identity Platform）：

•  一个Azure Active Directory (Azure AD) 开发者平台的等价物。
• 与ASP.NET Core Identity无关。

ASP.NET Core Identity 为ASP.NET Core web app添加了用户界面登录功能。为了保证APIs 和 SPAs的安全，使用如下之一的技术：

• Azure Active Directory
• Azure Active Directory B2C (Azure AD B2C)]
• IdentityServer4

IdentityServer4是一个OpenID Connct 以及OAuth 2.0 框架，其服务于ASP.NET Core 3.0。IdentityServer4 启用了如下安全特性：

• Authentication as a Service (AaaS)
• Single sign-on/off (SSO) over multiple application types
• Access control for APIs
• Federation Gateway

更多信息，请查看Welcome to IdentityServer4。

创建一个带有验证功能的Web app

步骤：

• 选择 文件 > 新建 > 工程。
• 选择 ASP.NET Core web 应用程序。将工程命名为WebApp1 以具有和下载的工程相同的命名空间。点击 OK。
• 选择一个ASP.NET Core Web 应用程序，然后选择，更改验证方式。
• 选择 个人用户账户，然后点击 OK。

生成的工程以Razor类库的方式提供了ASP.NET Core Identity 的功能。Identity Razor类库暴漏了带有Identity区域的终结点。举个例子：

• /Identity/Account/Login
• /Identity/Account/Logout
• /Identity/Account/Manage

应用迁移文件

       需要应用Migration 特性来初始化所需的数据库。在包管理器控制台中运行如下命令：Update-Database。

测试注册以及登录

       运行app并且注册一个用户，取决于你的屏幕大小，你或许需要选择导航拖动按钮来查看 Register 和  Login 链接。

查看Identity数据库

      可以通过SSMS来查看生成的数据库。

配置Identity服务

       服务在ConfigureServices 中被添加。典型的模式是调用所有的Add{Service} 方法，然后再调用所有的services.Configure{Service} 方法。

public void ConfigureServices(IServiceCollection services)
{
    services.AddDbContext<ApplicationDbContext>(options =>
        options.UseSqlServer(
            Configuration.GetConnectionString("DefaultConnection")));
    services.AddDefaultIdentity<IdentityUser>(options => options.SignIn.RequireConfirmedAccount = true)
        .AddEntityFrameworkStores<ApplicationDbContext>();
    services.AddRazorPages();

    services.Configure<IdentityOptions>(options =>
    {
        // Password settings.
        options.Password.RequireDigit = true;
        options.Password.RequireLowercase = true;
        options.Password.RequireNonAlphanumeric = true;
        options.Password.RequireUppercase = true;
        options.Password.RequiredLength = 6;
        options.Password.RequiredUniqueChars = 1;

        // Lockout settings.
        options.Lockout.DefaultLockoutTimeSpan = TimeSpan.FromMinutes(5);
        options.Lockout.MaxFailedAccessAttempts = 5;
        options.Lockout.AllowedForNewUsers = true;

        // User settings.
        options.User.AllowedUserNameCharacters =
        "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789-._@+";
        options.User.RequireUniqueEmail = false;
    });

    services.ConfigureApplicationCookie(options =>
    {
        // Cookie settings
        options.Cookie.HttpOnly = true;
        options.ExpireTimeSpan = TimeSpan.FromMinutes(5);

        options.LoginPath = "/Identity/Account/Login";
        options.AccessDeniedPath = "/Identity/Account/AccessDenied";
        options.SlidingExpiration = true;
    });
}

       前面高亮显示的代码用默认选项值配置了Identity。服务通过DI使得其在整个app内都是可用的。通过调用UseAuthentication 来启用Identity。UseAuthentication向请求管道中加入验证中间件。

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
        app.UseDatabaseErrorPage();
    }
    else
    {
        app.UseExceptionHandler("/Error");
        app.UseHsts();
    }

    app.UseHttpsRedirection();
    app.UseStaticFiles();

    app.UseRouting();

    app.UseAuthentication();
    app.UseAuthorization();

    app.UseEndpoints(endpoints =>
    {
        endpoints.MapRazorPages();
    });
}

这个基于模板生成的app不会使用授权。之所以包含UseAuthorization是为了确保其以正确的顺序被添加。UseRouting, UseAuthentication, UseAuthorization, 以 UseEndpoints 必须被以如上所示的顺序被添加。

关于IdentityOptions 和 Startup的更多信息，请参考 IdentityOptions 和 Application Startup。

Identity 组件

       所有依赖于Identity的NuGet包都包含在  ASP.NET Core shared framework中。对Identity来说最主要的包是 Microsoft.AspNetCore.Identity。这个包包含了ASP.NET Core Identity 的核心接口集合。其被包含在Microsoft.AspNetCore.Identity.EntityFrameworkCore中。

迁移至ASP.NET Core Identity

       关于迁移你现存的Identty存储的更多信息及指导，请参考 Migrate Authentication and Identity。

设置密码强度

       查看 Configuration，以获取设置最小密码需求的示例。

AddDefaultIdentity 和 AddIdentity

AddDefaultIdentity 在ASP.NET Core 2.1被引入。调用AddDefaultIdentity 类似于调用如下方法：  

• AddIdentity
• AddDefaultUI
• AddDefaultTokenProviders

查看AddDefaultIdentity source 以获取更多信息。

避免发布静态Identity资产

       为了避免发布静态Identity资产到 Web root，向app 工程文件添加ResolveStaticWebAssetsInputsDependsOn属性以及RemoveIdentityAssets目标。

<PropertyGroup>
  <ResolveStaticWebAssetsInputsDependsOn>RemoveIdentityAssets</ResolveStaticWebAssetsInputsDependsOn>
</PropertyGroup>

<Target Name="RemoveIdentityAssets">
  <ItemGroup>
    <StaticWebAsset Remove="@(StaticWebAsset)" Condition="%(SourceId) == 'Microsoft.AspNetCore.Identity.UI'" />
  </ItemGroup>
</Target>

下一步      

• 查看this GitHub issue 以获取关于使用SQLite配置Identity 的更多信息.
• Configure Identity
• Create an ASP.NET Core app with user data protected by authorization
• Add, download, and delete user data to Identity in an ASP.NET Core project
• Enable QR Code generation for TOTP authenticator apps in ASP.NET Core
• Migrate Authentication and Identity to ASP.NET Core
• Account confirmation and password recovery in ASP.NET Core
• Two-factor authentication with SMS in ASP.NET Core
• Host ASP.NET Core in a web farm