我需要使用登录页面中的外部API对用户进行身份验证。如果从外部API进行的身份验证成功,那么我将在会话中存储AuthToken。
为了检查请求是否有效,我创建了以下授权处理程序
public class ExtApiStoreRequirement : IAuthorizationRequirement
{
}
public class ExtApiAuthorizationHandler : AuthorizationHandler<ExtApiStoreRequirement>
{
IHttpContextAccessor _accessor;
public ExtApiAuthorizationHandler(IHttpContextAccessor accessor)
{
_accessor = accessor;
}
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, ExtApiStoreRequirement requirement)
{
var authState = GET_AUTH_FROM_SESSION(_accessor.HttpContext.Session);
if (authState!=null)
{
_accessor.HttpContext.Response.Redirect("/Account/Login");
//context.Fail(); <-- I removed that because it was responding an empty page
context.Succeed(requirement);
}
else
context.Succeed(requirement);
return Task.CompletedTask;
}
}
而且我已经在我的startup.cs中注册了该处理程序
services.AddAuthorization(options =>
{
options.AddPolicy("ExtApi",
policy => policy.Requirements.Add(new ExtApiStoreRequirement()));
});
这种方法有效,但是我没有信心,因为我必须要求context.Succeed(requirement);重定向才能起作用。如果我打电话,context.Fail()那么将不会发生重定向,而我看到的只是一个空白页。
此方法是否存在任何安全性问题,或者我可以安全使用它?
您的实现是为了授权而不是认证。我认为编写自定义身份验证中间件不是创建授权策略,而是适合您的情况的正确方法。
首先查看如何在Mongodb数据存储的asp.net核心中实现基于自定义令牌的简单身份验证/授权
要为您的案例实现上述方式,HandleAuthenticateAsync应如下所示:
protected override async Task<AuthenticateResult> HandleAuthenticateAsync()
{
AuthenticateResult result = null;
var principal = GetPrincipalFromSession();
if(principal != null)
{
result = AuthenticateResult.Success(new AuthenticationTicket(principal,
new AuthenticationProperties(), Options.AuthenticationScheme));
}
else
{
result = AuthenticateResult.Skip();
}
return result;
}
根据评论更新:
protected override async Task<bool> HandleUnauthorizedAsync(ChallengeContext context)
{
Response.Redirect(Options.LoginPath);// you need to define LoginPath
return true;
}
当用户登录时,您还应该将主体存储在会话中。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句