如何在ASP.NET Core使用Cookie中間件的詳細介紹

本篇文章主要介紹了詳解在ASP.NET Core 中使用Cookie中間件，具有一定的參考價值，有興趣的夥伴可以參考一下

在http:// ASP.NET Core 中使用Cookie中間件

ASP.NET Core 提供了Cookie中間件來序列化使用者主題到一個加密的Cookie中並且在後來的請求中校驗這個Cookie，再現使用者並且指派到HttpContext物件的User屬性中。如果你想提供自己的登入方式和使用者資料你可以使用Cookie中間件來實現獨立的功能。

新增和設定

第一步是增加Cookie中間件到你的應用程式。首先使用nuget增加Microsoft.AspNetCore.Authentication.Cookies 套件。然後加入下面的幾行程式碼到Startup.cs檔案的Configure方法中，且要在app.UseMvc()之前。

app.UseCookieAuthentication(new CookieAuthenticationOptions()
 {
  AuthenticationScheme = "MyCookieMiddlewareInstance",
  LoginPath = new PathString("/Account/Unauthorized/"),
  AccessDeniedPath = new PathString("/Account/Forbidden/"),
  AutomaticAuthenticate = true,
  AutomaticChallenge = true
 });

上面的程式碼片段配置了一下幾個選項；

1. 認證方案：這是一個已知中間件的值，當有多個實例的中間件如果你想限制授權到一個實例時這個選項將會起作用。

2. 登入路徑：這是當使用者試圖存取資源但未經過驗證時，程式會將請求重新導向到這個相對路徑。

3. 禁止存取路徑：當使用者試圖存取資源時，但未通過該資源的任何授權策略，請求將被重定向到這個相對路徑。

4. 自動認證：這個標誌表示中間件應該會在每個請求上進行驗證和重建他所建立的序列化主體。

5. 自動挑戰：這個標誌標示當中間件認證失敗時應該重定向瀏覽器到登入路徑或禁止存取路徑。

其他選項包括設定中間件所建立的聲明的發行者，中間件儲存的cookie名稱，Cookie的網域和cookie上的各種安全性屬性。預設情況下Cookie中間件將使用適當的安全性選項，設定HTTPONLY避免cookie在客戶端被JavaScript操作。當請求方式為HTTPS時限制Cookie的HTTPS操作。

建立Cookie

建立Cookie保存自己的訊息，必須要初始化一個ClaimsPrincipal（類型）來序列化和保存你想保存的使用者資訊到Cookie中。每次的方法呼叫都會在你的Controller（控制器）中有一個合適的ClaimsPrincipal物件。

複製程式碼 程式碼如下：

await HttpContext.Authentication.SignInAsync("MyCookieMiddlewareInstance", principal);

上面的程式碼將會建立一個加密的Cookie並且增加到目前的請求回應中。 AuthenticationScheme明確規定在配置期間

退出

#退出目前使用者的登錄，刪除登入的cookie訊息，可以在控制器中呼叫下面的方法。

複製程式碼 程式碼如下：

await HttpContext.Authentication.SignOutAsync("MyCookieMiddlewareInstance");

回應後端的變化

警告

一旦cookie建立就會成為身分單一認證的來源，即使在後台系統已經不可用，中間件也是不知道的，並且始終保持登入直到cookie失效。

Cookie認證中間件在他的選項類別中提供了一系列的事件，其中ValidateAsync() 事件可以用來中斷和重寫cookie認證的驗證方法。

考慮到後台使用者的資料庫中可能會有'最後的修改時間'這一列，為了在資料庫修改之後你可以廢止當前的Cookie，第一當創建這個Cookie時添加一個最後修改的聲明並且包含目前的值，當資料庫中的資料改變時，這個值也同時更新。

實作一個ValidateAsync()的事件重寫你必須寫一個具有以下簽名的方法。

Task ValidateAsync(CookieValidatePrincipalContext context);

ASP.NET Core 認證在SecurityStampValidator中實作了這個驗證。以下是一個類似的例子：

public static class LastChangedValidator
 {
  public static async Task ValidateAsync(CookieValidatePrincipalContext context)
  {
   // Pull database from registered DI services.
   var userRepository = context.HttpContext.RequestServices.GetRequiredService<IUserRepository>();
   var userPrincipal = context.Principal;

   // Look for the last changed claim.
   string lastChanged;
   lastChanged = (from c in userPrincipal.Claims
       where c.Type == "LastUpdated"
       select c.Value).FirstOrDefault();

   if (string.IsNullOrEmpty(lastChanged) ||
    !userRepository.ValidateLastChanged(userPrincipal, lastChanged))
   {
    context.RejectPrincipal();
    await context.HttpContext.Authentication.SignOutAsync("MyCookieMiddlewareInstance");
   }
  }
 }

這些要在Cookie中間件配置時進行註冊

app.UseCookieAuthentication(options =>
 {
  options.Events = new CookieAuthenticationEvents
  {
   // Set other options
   OnValidatePrincipal = LastChangedValidator.ValidateAsync
  };
 });

如果你想非破坏性的更新用户主体，例如，name更新了，要想以不影响安全的方式你可以调用 context.ReplacePrincipal() 并且设置 context.ShouldRenew 为 true 。

控制Cookie选项

CookieAuthenticationOptions配备了各种各样的配置选项是你能够很好的调节创建的Cookie。

1. ClaimsIssuer - 被用来在任何中间件创建的属性之上。（看不懂）

2. CookieDomain - 如果cookie domain被设置为 ** . http:// contoso.com ** 那么 contoso.com, http://www. contoso.com,staging.contoso.com 等等类似这样的域名也会被允许。

3. CookieHttpOnly - 这个标志指示这个 cookie 只会被服务端访问。默认值是true，修改这个属性将会开放你的应用造成 Cookie 盗窃，造成跨站脚本的bug。

4. CookiePath - 这个可以用来隔离运行在同一个 host 下的应用。如果你有一个应用运行在 /app1 上，并且想限制 cookie 限制仅仅被发送给自己，那么你应该设置 CookiePath 属性为 /app1 ；Cookie将会明白只适用于道 /app1 或者他下面的请求。

5. ExpireTimeSpan - 这个 TimeSpan 时间段之后 Cookie 将会过期。

6. SlidingExpiration - 这个标志标记了如果超过了过期时间的一半后被访问那么Cookie将会被重置。新的过期时间将会后移到当前时间加上ExpireTimespan之后。当调用 SignInAsync 时可以通过 ** AuthenticationProperties ** 设置绝对的过期时间。通过限制验证cookie有效的时间，绝对期满可以提高应用程序的安全性。

持续性Cookie和绝对过期时间

您可能希望通过浏览器会话使cookie过期。也许你也想通过绝对过期时间和认证来结束cookie，那么你可以在登录认证和创建Cookie时使用HttpContext.Authentication.SignInAsync方法中的AuthenticationProperties参数类实现。AuthenticationProperties类在Microsoft.AspNetCore.Http.Authentication命名空间中。

例如

await HttpContext.Authentication.SignInAsync(
  "MyCookieMiddlewareInstance",
  principal,
  new AuthenticationProperties
  {
   IsPersistent = true
  });

这个代码片段将会实现创建一个认证和相应的Cookie来实现即时浏览器关闭Cookie也能继续保留。任何在cookie属性中的过期时间的设置都将会保存下来。如果浏览器关闭时Cookie也过期了那么在重新启动浏览器是Cookie将会别清理。

await HttpContext.Authentication.SignInAsync(
  "MyCookieMiddlewareInstance",
  principal,
  new AuthenticationProperties
  {
   ExpiresUtc = DateTime.UtcNow.AddMinutes(20)
  });

这段代码将创建一个身份认证和相应的cookie且将持续20分钟。 任何在Cookie options中配置的动态选项都会被忽略。 ExpiresUtc 和 IsPersistent 这两个属性是相互独立的。

其实上面bb了那么多，都没用! 不如来个demo

// 1. 在Startup.cs的Configure方法中加上
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
 AuthenticationScheme = "UserAuth",　 // Cookie 验证方案名称，在写cookie时会用到。
 AutomaticAuthenticate = true,　　　 　// 是否自动启用验证，如果不启用，则即便客服端传输了Cookie信息，服务端也不会主动解析。除了明确配置了 [Authorize(ActiveAuthenticationSchemes = "上面的方案名")] 属性的地方，才会解析，此功能一般用在需要在同一应用中启用多种验证方案的时候。比如分Area.
 LoginPath = "/User/Index"　　　　　// 登录页
});

// 2. 新建UserController
// 3. 创建一个测试登录的方法（这里为了方便测是我用的是get方法，方便传参请求）
public IActionResult Login(int userId, string userName)
{
 WriteUser(userId, userName);
 return Content("Write");
}

private async void WriteUser(int userId, string userName)
{
 var identity = new ClaimsIdentity("Forms");  // 指定身份认证类型
 identity.AddClaim(new Claim(ClaimTypes.Sid, userId.ToString()));　　// 用户Id
 identity.AddClaim(new Claim(ClaimTypes.Name, userName));　　　　　　 // 用户名称
 var principal = new ClaimsPrincipal(identity);
 await HttpContext.Authentication.SignInAsync("UserAuth", principal, new AuthenticationProperties { IsPersistent = true , ExpiresUtc = DateTime.UtcNow.AddMinutes(20) }); //过期时间20分钟
}

// 4. 创建一个退出登录的方法
public async Task<ActionResult> Logout()
{
 await HttpContext.Authentication.SignOutAsync("UserAuth"); // Startup.cs中配置的验证方案名
 return RedirectToAction("User", "Index");
}

// 5. 创建一个获取cookie用户信息的方法方便调用
private int GetUserId()
{ 
 //var userName = User.Identity.Name; //获取登录时存储的用户名称
 var userId = User.FindFirst(ClaimTypes.Sid).Value; // 获取登录时存储的Id
 if (string.IsNullOrEmpty(userId))
 {
  return 0;
 }
 else
 {
  return int.Parse(userId);
 }
}
// 或者写一个测试Action
public JsonResult CheckLogin()
{
 var userName = User.Identity.Name; //获取登录时存储的用户名称
 var userId = User.FindFirst(ClaimTypes.Sid).Value; // 获取登录时存储的Id
 return Json({UserId:userId,UserName:userName});
}

// 6. 以上是加密的方式如果直接写好像也是可以的
HttpContext.Response.Cookies.Append("Key", "Value");

以上是如何在ASP.NET Core使用Cookie中間件的詳細介紹的詳細內容。更多資訊請關注PHP中文網其他相關文章！