使用部分身份框架在 ASP.NET Core 中存储用户 ID

Posted 2023-03-30

【中文标题】使用部分身份框架在 ASP.NET Core 中存储用户 ID

【英文标题】：Storing a UserID in ASP.NET Core with partial Identity Framework

【发布时间】：2021-09-07 13:33:01

【问题描述】：

我已经使用身份框架持久 cookie（如果用户选择记住我）或会话 cookie 创建了一个登录功能，如果只是标准登录并且不记住我被勾选。我使用以下代码：

                        var claimsIdentity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme);

                    if (RememberMe)
                    
                        await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme,
                            new ClaimsPrincipal(claimsIdentity),
                            new AuthenticationProperties
                            
                                IsPersistent = RememberMe,
                                ExpiresUtc = DateTimeOffset.UtcNow.AddHours(2)
                            );
                    
                    else
                    
                        await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme,
                            new ClaimsPrincipal(claimsIdentity));
                    
                    return RedirectToPage("/index");

我的前端使用 VueJS，所以我向我的 SQL 服务器发出各种 axios POST 请求，所以我设置了一个控制器来处理这个，如下例所示：

        [HttpPost]
    [ValidateAntiForgeryToken]
    public ActionResult AddFirm([FromBody] FirmModel model)
    

        String query = "exec dbo.A2Q_Edit_0112_RR_UploadNewReview_AddFirm @FIRM_NAME, @USER_ID";
        System.Diagnostics.Debug.WriteLine("value:" + model.FIRM_NAME);
        using (var connection = new SqlConnection(connectionString))
        
            var json = connection.QuerySingle<string>(query, new  FIRM_NAME = model.FIRM_NAME , USER_ID = USER_ID);
            return Content(json, "application/json");
        

    

正如您将看到的，我的控制器在我的 SQL 查询中包含一个参数，以捕获启动存储过程的用户 ID。我想存储这个变量服务器端。我已经阅读了很多帖子，似乎很多人暗示身份来处理这个问题，因为会话不可靠地存储用户数据。因此，我很好奇当我只使用有限版本的身份来制作 cookie 时如何使用身份。我不需要身份和表格等的所有开销。有没有办法使用身份来存储这些类似于会话的用户变量？如果没有，是否有使用此 cookie 存储用户 ID 或充当用户 ID 的安全方式？或者根据我的描述，在当今时代，使用 ASP.NET Core 3.1 和 IIS 8 会话是最好的吗？

这似乎是一件简单的事情，但我正在努力解决这一方面的问题，以便在我的 sql 查询参数中填充这个用户 ID 变量，而不是存储在 VueJS 的前端。

*警告我将来可能会使用 signalIR，以便根据我在堆栈上看到的帖子的理解，取消会话作为一个选项。

【参考方案1】：

如果你的问题没问题，我们需要某种机制来为每个请求获取UserId。

如果是这样，请考虑将 UserId 放入 cookie 中，这不是需要安全的东西，因为即使 jwt 令牌具有 sub 密钥，也打算保存这样的某种值。

在 ASP 网络中使用默认的.AddCookie 扩展名，您的登录过程应该是

// Create the claims
var claims = new List<Claim>

    new Claim(ClaimTypes.NameIdentifier, [The UserId goes here]),
    // some other require stuff
;

// Sign in
var claimsIdentity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme);
await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme,
    new ClaimsPrincipal(claimsIdentity),
    new AuthenticationProperties
    
        IsPersistent = RememberMe,
        ExpiresUtc = DateTimeOffset.UtcNow.AddHours(2)
    );

现在userId被存储在cookie里面，不要试图解密，这是生成CfDJ8MblQARvMeFAppYZW16O0Qm0moCi0%2Fu77SujBcwhrmg2gAtPiCrKJEcAL3Ry%2By9Xp8subrazS5ajc%2F4dD153VZrndwSU3dVXmESF0NZxW8oWmyo5lhuGSv9LpgAuQs6pEfRJCeLXpE4%2FxU9SDzyWlk4LLf9HzxiBXTYswPZdvnLr后cookie内容的示例形式

以及与 cookie 相关联的请求。我们可以从User 中获取userId 作为HttpContext 的属性。

public IActionResult Index()

    var user = HttpContext.User.FindFirst(ClaimTypes.NameIdentifier);
    var myUserId = user.Value;
    // Then pass it along as wished

关于使用 SignalR：您的意思是注销用户吗？如果是这样，signalR 可以处理快乐的情况，只要应用程序仍然有足够的连接（webSocket 保持它，小心，想象一下只有 3-500 CCU 或更多，只是为了这个有时的任务？即使连接断开并重新连接，您仍然必须处理该逻辑）。

相反，为什么不在您登录时为 cookie 附加一个唯一密钥，该密钥会为每个登录会话重新呈现。然后有一个中间件来检查该密钥是否存在于黑名单中（将其存储为缓存会很好），我们将在这里抛出所有需要锁定的信息（只要 cookie 生命周期就过期，在这种情况下， 2 小时）。

完成，不再保持连接，不再有快乐-不快乐的情况以及 websocket 带来的所有复杂性。

【讨论】：

像魅力一样工作。我只是说 SignalR，因为我读过你不能使用 SignalR 的会话，所以它是一个或另一个。使用 cookie 可以直接解决这个问题。我想我担心用户可以解密 cookie 并更改里面的 userID 来冒充另一个用户。但是，我可以只使用更复杂的用户 ID，因此如果解密它就不能被模拟。已接受答案！