关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

如何理解asp.net core 3.x Identity系统

发布时间:2020-02-28 00:00:00

   一、前言

这方面的资料很多,重复的写没必要,但是最近一直在学习身份验证和授权相关东东,为了成体系还是写一篇,主要是从概念上理解identity系统。

参考:https://www.cnblogs.com/r01cn/p/5179506.html

 

二、概述

几乎所有系统都包含用户、角色、权限、登录、注册等等,以前我们通常是自己来实现,定义各种实体、以及对应的Repository、Service类,其实这些功能早在.net 2.0就已有实现,并且一直在进化,要么是因为大家不了解,要么是因为觉得扩展性不强,最终使用微软提供的用户管理的人不多,这里就不扯以前的事了。现在的asp.net core延续了.net framework最后一次实现的Identity,暂且称为“标识系统”吧。我的理解是它主要提供用户管理、角色管理等功能,并且提供了相关的类与身份验证系统结合,还包括持久化和UI,还提供了很多扩展点,当然预留了很多扩展点,也提供了默认实现,就使用起来。用还是不用了解之后再做决定也不迟。

身份验证、授权、用户/角色管理这三个系统是独立的,只是授权依赖身份验证,你要判断某人能干啥,至少得让他先登录吧。所以identity系统不是必须的,但是用它比自己实现更方便。另一个原因一些开源框架对于用户、角色、权限、登录这些东西往往也是直接使用的微软原生的,只是做了些许扩展和集成。

主要概念包括:

  • 用户实体:IdentityUser,对应到用户数据表
  • 用户数据操作接口:UserStore,对用户进行CRUD和其它功能的  与数据库操作相关的功能
  • 用户管理器:UserManager,对用户进行CRUD和相关操作的业务逻辑类,
  • 登录器:SignInManager提供登录相关功能,实现identity系统和身份验证系统的结合
  • 角色实体:类别用户
  • 角色数据操作接口:类别用户
  • 角色管理器:类比用户

默认使用EF做数据库相关操作,当然非常容易扩展。

 

三、IdentityUser

系统中通常有两种用户,

  • 一个是asp.net框架中的当前登录用户,也就是HttpContext.User,它是ClaimsPrincipal类型。它里面相对来说属性比较少,只包含用户id和与授权判断相关数据,比如角色
  • 一个是我们做用户管理时的用户实体。它包含完整的用户信息

比如像“手机号”这个字段在用户实体里肯定是有的,但是没必要放进当前登录用户,因为这个字段不是每次请求都需要的。只要那些被平凡访问的字段放进当前登录用户才比较合适。

这个用户就是用户实体,对应到数据库的用户表。用下半身也能想到它大概包含哪些属性:id、姓名、账号、密码、邮箱、性别、出生年月、民族、籍贯、地址、电话、巴拉巴拉.....

大概了解了啥是用户,我们来看看它比较特殊的几个点

3.1、继承结构

 public class IdentityUser    public class IdentityUser : IdentityUser<string> 

因为在设计identity系统时,不晓得将来的开发人员希望用什么类型作为主键,所以定义成泛型。又由于大部分时候可能使用字符串(可能是对应guid),默认有个实现。

 

3.2、特殊字段

NormalizedUserName:标准化的用户名,默认是直接将UserName属性转换为大写,主要可能用来方便提升查询性能的。类似的还有Email与NormalizedEmail的关系
EmailConfirmed:是否已做了邮箱确认。我们注册用户时会向用户发送一封邮件,用户进入邮箱点击邮件中的地址进行激活,此字典就是标识是否已激活了,类似的还有手机号确认PhoneNumberConfirmed
SecurityStamp:当在后台修改用户的跟安全相关的信息,比如修改了密码,更新用户到数据库会自动更新此值,这样用户下次登录时可以判断此值变化了,要求用户重新登录。
ConcurrencyStamp:跟上面有点类似,不过主要是做并发冲突的,是针对整个用户所有字段更新的,比如有两个现成都在修改同一个用户,会比对此字段是否另一个用户也在修改,如果是则其中一个线程修改失败
AccessFailedCount:登录失败次数,多次登录失败会锁定的功能会用到此字段。

 

3.3、额外概念

UserClaims:当用户做第三方登录(比如:微信、google)时,可能会获取第三方中关于用户的额外字段,这些字段就是存储在用户的Claim中的,所以这是一个一对多关系,一个用户拥有多个第三方Claim
UserLogins:用户第三方登录,记录某用户绑定的第三方登录的信息,比如openid啥的,所以也是一对多关系,一个用户可能绑定多个第三方登录
UserTokens:用户登录 发送手机验证码、或邮箱激活用的验证码之类的,也是一对多

 

3.x、如何扩展

定义IdentityUser子类、定义UserManager子类、定义RoleManager子类 ,由于这些还没说,所以后面讲吧

 

四、跟用户相关的数据操作接口Store

 定义一堆接口来对用户进行管理,这些功能都是跟数据库操作相关的。看看这些接口是干啥用的:

  • IUserLoginStore:管理用户绑定第三方登录的数据操作相关功能,比如获取绑定的第三方登录列表
  • IUserClaimStore:用户做第三方登录获取的用户的第三方账号相关字段值
  • IUserPasswordStore:专门针对用户密码的处理,比如设置获取某用户的密码
  • IUserSecurityStampStore:参考
  • IUserEmailStore:针对用户邮箱地址的处理
  • 略....

为毛要分开定义呢?还是那个话你可以对单独的功能进行扩展。

可以看到整个继承体系使用了很多泛型,目的是方便我们将来进行扩展,比如:我们将来可能使用int作为用户的主键、也可能自定义一个用户子类扩展更多字段、也可能继承Role实现更多属性、也可能不使用EF,也可能使用EF,但是希望用自己的DBContext等等。。。。

为了将来扩展时尽量写更少的代码,所以实现了抽象类,也提供了默认子类,所以将来如果没有特殊需求,对用户管理的数据操作就完全不用自己写,有特殊需求是简单实现一个子类就ok拉,最最最复杂的情况我们才需要自己来实现这个接口

 

默认情况下使用UserStore这个类,它实现上面说的所有接口。

 

 

 

 

 

 

 

 

 

五、UserManager

用户管理的业务逻辑类

内部使用IUserStore

最奇葩的是内部针对数据库操作的上面说了分开接口定义的,但是在这个类内部使用时只注入了IUserStore,然后对特殊步骤的处理是直接拿这个强转的。。所以将来扩展时我们必须重写单独那个方法,而不是只替换Store

AspNetUserManager

 

待补充...........

六、SignInManager

用来结合identity系统和 身份验证系统的,主要提供登录、注销相关功能。登录又分为多种:账号密码登录、第三方登录、双因素登录

 

七、启动配置 7.1、AddDefaultIdentity

  1. 注册身份验证需要的核心服务;设置默认身份验证方案为“Identity.Appliction”,设置默认登录使用的身份验证方案为"Identity.External"。
  2. 注册多个身份验证验证方案,其中就包含我们最常用的基于cookie的身份验证方案以及第三方登录、双因素登录等对应的身份验证方案
  3. 注册标识系统跟用户管理相关的各种服务(这些服务主要在UserManager中被使用)
 1 1public static IdentityBuilder AddDefaultIdentity(this IServiceCollection services, ActionconfigureOptions) where TUser : class 2 { 3      services.AddAuthentication(o => 4      { 5            o.DefaultScheme = IdentityConstants.ApplicationScheme; 6            o.DefaultSignInScheme = IdentityConstants.ExternalScheme; 7      }) 8      .AddIdentityCookies(o => { }); 9 10      return services.AddIdentityCore(o =>11      {12            o.Stores.MaxLengthForKeys = 128;13            configureOptions?.Invoke(o);14      })15      .AddDefaultUI()16      .AddDefaultTokenProviders();17 }
AddDefaultIdentity

 

7.2、AddIdentityCookies

这里对应上面的步骤2,上面源码第8行

添加多个基于基于cookie的身份验证方案,具体如下:

  1. 名称=“Identity.Appliction”;  选项类型=CookieAuthenticationOptions;  身份验证处理器类型=CookieAuthenticationHandler
  2. 名称=Identity.External”;      选项类型=CookieAuthenticationOptions;  身份验证处理器类型=CookieAuthenticationHandler
  3. 名称=“Identity.TwoFactorRememberMe”;    选项类型=CookieAuthenticationOptions;  身份验证处理器类型=CookieAuthenticationHandler
  4. 名称=“Identity.TwoFactorUserId”;      选项类型=CookieAuthenticationOptions;  身份验证处理器类型=CookieAuthenticationHandler

可以看到这4个身份验证方案的身份验证处理器和选项对象的类型都是一样的,只是方案名称不同,当然选项的值也不同。
第1个身份验证方案是我们最常用的基于cookie的身份验证,且它是默认身份验证方案,意思是将来请求抵达时身份验证中间件将尝试从cookie中获取用户标识。
第2个身份验证方案是跟第三方登录相关的,第3、4个是跟双因素登录(估计类似手机验证码登录)相关的,后期再说。 

 1 public static class IdentityCookieAuthenticationBuilderExtensions 2 { 3         public static IdentityCookiesBuilder AddIdentityCookies(this AuthenticationBuilder builder) 4             => builder.AddIdentityCookies(o => { }); 5  6         public static IdentityCookiesBuilder AddIdentityCookies(this AuthenticationBuilder builder, Action configureCookies) 7         { 8             var cookieBuilder = new IdentityCookiesBuilder(); 9             cookieBuilder.ApplicationCookie = builder.AddApplicationCookie();10             cookieBuilder.ExternalCookie = builder.AddExternalCookie();11             cookieBuilder.TwoFactorRememberMeCookie = builder.AddTwoFactorRememberMeCookie();12             cookieBuilder.TwoFactorUserIdCookie = builder.AddTwoFactorUserIdCookie();13             configureCookies?.Invoke(cookieBuilder);14             return cookieBuilder;15         }16 17         public static OptionsBuilderAddApplicationCookie(this AuthenticationBuilder builder)18         {19             builder.AddCookie(IdentityConstants.ApplicationScheme, o =>20             {21                 o.LoginPath = new PathString("/Account/Login");22                 o.Events = new CookieAuthenticationEvents23                 {24                     OnValidatePrincipal = SecurityStampValidator.ValidatePrincipalAsync25                 };26             });27             return new OptionsBuilder(builder.Services, IdentityConstants.ApplicationScheme);28         }29 30         public static OptionsBuilderAddExternalCookie(this AuthenticationBuilder builder)31         {32             builder.AddCookie(IdentityConstants.ExternalScheme, o =>33             {34                 o.Cookie.Name = IdentityConstants.ExternalScheme;35                 o.ExpireTimeSpan = TimeSpan.FromMinutes(5);36             });37             return new OptionsBuilder(builder.Services, IdentityConstants.ExternalScheme);38         }39 40         public static OptionsBuilderAddTwoFactorRememberMeCookie(this AuthenticationBuilder builder)41         {42             builder.AddCookie(IdentityConstants.TwoFactorRememberMeScheme, o => o.Cookie.Name = IdentityConstants.TwoFactorRememberMeScheme);43             return new OptionsBuilder(builder.Services, IdentityConstants.TwoFactorRememberMeScheme);44         }45 46         public static OptionsBuilderAddTwoFactorUserIdCookie(this AuthenticationBuilder builder)47         {48             builder.AddCookie(IdentityConstants.TwoFactorUserIdScheme, o =>49             {50                 o.Cookie.Name = IdentityConstants.TwoFactorUserIdScheme;51                 o.ExpireTimeSpan = TimeSpan.FromMinutes(5);52             });53             return new OptionsBuilder(builder.Services, IdentityConstants.TwoFactorUserIdScheme);54         }55     }
View Code

 

7.2.1、OptionsBuilder


/template/Home/Zkeys/PC/Static