為多租戶應用程式實作 ASP.NET Identity：最佳實踐

建置多租用戶應用程式帶來了獨特的挑戰，特別是在管理跨多個租用戶的用戶身份驗證和授權時。在本文中，我將引導您了解如何在多租戶環境中實現 ASP.NET Identity，同時遵循最佳實踐以確保可擴展性、安全性和可維護性。

---

什麼是多租用戶應用程式？

多租用戶應用程式允許多個組織（租用戶）使用應用程式的相同實例，每個租用戶的資料與其他租用戶隔離。這種架構對於擴展和成本分攤非常有效，但在處理使用者身份驗證和授權時需要特別考慮。

---

為多租戶設定 ASP.NET Identity

ASP.NET Identity 是一個用於處理驗證和使用者管理的靈活框架。要使其適應多租戶設置，您需要：

1. 辨識並區分使用者儲存中的租用戶。
2. 隔離使用者資料，以便每個租用戶只能看到自己的使用者。
3. 實作為每位租用戶量身訂做的自訂身分驗證和角色管理。

---

第 1 步：修改使用者模型以支援多租戶

在多租用戶應用程式中，每個使用者必須與特定租用戶關聯。您可以透過新增 TenantId 屬性來修改 ASP.NET Identity User 模型來追蹤使用者所屬的租用戶。

public class ApplicationUser : IdentityUser
{
    public string TenantId { get; set; }
}

第 2 步：擴充 IdentityDbContext 來處理租用戶資料

接下來，透過確保基於 TenantId 過濾查詢來擴展 IdentityDbContext 以支援特定於租戶的資料。

public class ApplicationDbContext : IdentityDbContext<ApplicationUser>
{
    public ApplicationDbContext(DbContextOptions<ApplicationDbContext> options)
        : base(options) { }

    protected override void OnModelCreating(ModelBuilder builder)
    {
        base.OnModelCreating(builder);

        // Add a global query filter to isolate data by tenant
        builder.Entity<ApplicationUser>().HasQueryFilter(u => u.TenantId == GetCurrentTenantId());
    }

    private string GetCurrentTenantId()
    {
        // Implement logic to retrieve the current tenant's ID, e.g., from the request or context
        return TenantResolver.ResolveTenantId();
    }
}

第 3 步：租用戶解決

為了確保每個使用者與正確的租用戶關聯，您需要一個租用戶解析器來決定目前請求與哪個租用戶相關。這可以基於子網域、URL 段或自訂標頭。

public static class TenantResolver
{
    public static string ResolveTenantId()
    {
        // Example: Resolve tenant from subdomain or URL segment
        var host = HttpContext.Current.Request.Host.Value;
        return host.Split('.')[0]; // Assuming subdomain is used for tenant identification
    }
}

第 4 步：設定驗證

在多租用戶應用程式中，必須確保使用者只能使用其特定於租用戶的憑證進行身份驗證。自訂登入邏輯以在驗證期間檢查TenantId。

public class CustomSignInManager : SignInManager<ApplicationUser>
{
    public CustomSignInManager(UserManager<ApplicationUser> userManager,
                               IHttpContextAccessor contextAccessor,
                               IUserClaimsPrincipalFactory<ApplicationUser> claimsFactory,
                               IOptions<IdentityOptions> optionsAccessor,
                               ILogger<SignInManager<ApplicationUser>> logger,
                               IAuthenticationSchemeProvider schemes,
                               IUserConfirmation<ApplicationUser> confirmation)
        : base(userManager, contextAccessor, claimsFactory, optionsAccessor, logger, schemes, confirmation)
    { }

    public override async Task<SignInResult> PasswordSignInAsync(string userName, string password, bool isPersistent, bool lockoutOnFailure)
    {
        // Resolve tenant before signing in
        var tenantId = TenantResolver.ResolveTenantId();
        var user = await UserManager.FindByNameAsync(userName);

        if (user == null || user.TenantId != tenantId)
        {
            return SignInResult.Failed;
        }

        return await base.PasswordSignInAsync(userName, password, isPersistent, lockoutOnFailure);
    }
}

第 5 步：租用戶基於角色的存取控制 (RBAC)

每個租用戶可能有自己的一組角色和權限。修改您的角色模型以包含 TenantId 並調整角色檢查以考慮當前租戶。

public class ApplicationRole : IdentityRole
{
    public string TenantId { get; set; }
}

第 6 步：安全資料存取

對於多租戶應用程序，資料隔離至關重要。除了保護身分驗證和授權之外，還要確保使用者只能存取特定於租用戶的資料。在 DbContext 中套用全域查詢過濾器，或使用儲存庫模式根據目前 TenantId 過濾資料。

public class UserRepository : IUserRepository
{
    private readonly ApplicationDbContext _context;

    public UserRepository(ApplicationDbContext context)
    {
        _context = context;
    }

    public IQueryable<User> GetUsers()
    {
        var tenantId = TenantResolver.ResolveTenantId();
        return _context.Users.Where(u => u.TenantId == tenantId);
    }
}

第 7 步：測試多租戶

測試多租用戶應用程式時，請確保：

• 測試多個租用戶的登入和驗證。
• 確保使用者和角色在租用戶之間正確隔離。
• 驗證資料只能由授權租用戶存取。

使用單元測試和整合測試，模擬租用戶解析並確保應用特定於租用戶的邏輯。

[TestMethod]
public async Task User_Should_Only_See_Tenant_Data()
{
    // Arrange
    var tenantId = "tenant_1";
    var tenantUser = new ApplicationUser { UserName = "user1", TenantId = tenantId };

    // Act
    var result = await _signInManager.PasswordSignInAsync(tenantUser.UserName, "password", false, false);

    // Assert
    Assert.AreEqual(SignInResult.Success, result);
}

---

最佳實務回顧

• 隔離使用者和角色資料：確保使用者、角色和權限僅限於特定租用戶。
• 全域查詢篩選器：使用查詢篩選器自動將資料存取範圍限製到正確的租用戶。
• 租用戶解析：基於子網域、URL 段或自訂標頭實作強大的租用戶解析策略。
• 自訂身份驗證：自訂身份驗證過程以包含租用戶檢查。
• 徹底測試：始終在多租戶場景中測試您的應用程序，以避免安全和資料外洩問題。

---

結論

在多租戶環境中實現 ASP.NET Identity 可能具有挑戰性，但透過正確的實踐，您可以確保可擴展性、安全性和資料隔離。透過遵循本指南中概述的步驟，您將能夠建立適合每個租戶需求的強大的多租戶身分管理系統。

如果您遇到過類似的挑戰或有其他多租戶應用程式的最佳實踐，請告訴我。我很想在評論中聽到你的想法！

以上是為多租戶應用程式實作 ASP.NET Identity：最佳實踐的詳細內容。更多資訊請關注PHP中文網其他相關文章！