public static class LastChangedValidator { public static async Task ValidateAsync(CookieValidatePrincipalContext context) { // Pull database from registered DI services. var userRepository = context.HttpContext.RequestServices.GetRequiredService<IUserRepository>(); var userPrincipal = context.Principal; // Look for the last changed claim. string lastChanged; lastChanged = (from c in userPrincipal.Claims where c.Type == "LastUpdated" select c.Value).FirstOrDefault(); if (string.IsNullOrEmpty(lastChanged) || !userRepository.ValidateLastChanged(userPrincipal, lastChanged)) { context.RejectPrincipal(); await context.HttpContext.Authentication.SignOutAsync("MyCookieAuthenticationScheme"); } } }
然后,在Startup.cs文件中的Configure方法中将Cokie认证配置进行重写:
app.UseCookieAuthentication(new CookieAuthenticationOptions { Events = new CookieAuthenticationEvents { OnValidatePrincipal = LastChangedValidator.ValidateAsync } });
ASP.NET Core 2.xpublic static class LastChangedValidator { public static async Task ValidateAsync(CookieValidatePrincipalContext context) { // Pull database from registered DI services. var userRepository = context.HttpContext.RequestServices.GetRequiredService<IUserRepository>(); var userPrincipal = context.Principal; // Look for the last changed claim. string lastChanged; lastChanged = (from c in userPrincipal.Claims where c.Type == "LastUpdated" select c.Value).FirstOrDefault(); if (string.IsNullOrEmpty(lastChanged) || !userRepository.ValidateLastChanged(userPrincipal, lastChanged)) { context.RejectPrincipal(); await context.HttpContext.SignOutAsync("MyCookieAuthenticationScheme"); } } }
然后,将在Startup.cs的ConfigureServices方法中将Cookie服务注册进行配置:
services.AddAuthentication("MyCookieAuthenticationScheme") .AddCookie(options => { options.Events = new CookieAuthenticationEvents { OnValidatePrincipal = LastChangedValidator.ValidateAsync }; });
如果要非破坏性地更新用户主体,可以调用context.ReplacePrincipal(),并将context.ShouldRenew属性设置为true。
Cookie设置选项CookieAuthenticationOptions类提供了各种配置选项,在创建时调整Cookie的配置。
ASP.NET Core 1.xClaimsIssuer是由中间件创建的任何声明时使用的Issuer属性。
CookieDomain是提供Cookie的域名。默认情况下,这是发送请求的主机名。浏览器仅将Cookie提供给匹配的主机名。您可能希望对此进行调整,以便您的域中的任何主机都可以使用Cookie。例如,将Cookie域名设置为.contoso.com,可以使用Cookie的域名有contoso.com、、staging.等。
CookieHttpOnly是一个标识,指定Cookie是否只能由服务器访问。默认为true。如果您的应用程序具有Cross-Site Scripting(XSS)的问题,更改此值可能会导致Cookie被盗用。
CookiePath可用于隔离在相同主机名上运行的应用程序。如果你有一个应用程序在/app1中运行,并希望限制发送的Cookie只发送到该应用程序,那么您应该将CookiePath属性设置为/app1。通过这样做,Cookie只适用于对/app1或其下任何内容的请求。
CookieSecure是一个标识,表示创建的Cookie是否应该被限制为HTTPS,HTTP或HTTPS,或与请求相同的协议。默认为SameAsRequest。
ExpireTimeSpan是TimeSpan类型,在此时间段之后Cookie将过期。将当前日期加上此时间段为创建Cookie的到期日期。
SlidingExpiration是一个标识,指示当超过一半的ExpireTimeSpan间隔时,Cookie到期日期是否复位。新的到期日是当前时间加上ExpireTimespan。调用SignInAsync时,可以使用AuthenticationProperties类设置绝对到期时间。绝对到期时间可以通过限制认证Cookie有效的时间来提高应用程序的安全性。
在Startup.cs文件中的Configure方法中使用CookieAuthenticationOptions的例子如下:
app.UseCookieAuthentication(new CookieAuthenticationOptions { CookieName = "AuthCookie", CookieDomain = "contoso.com", CookiePath = "https://www.jb51.net/", CookieHttpOnly = true, CookieSecure = CookieSecurePolicy.Always });
ASP.NET Core 2.xASP.NET Core 2.x 统一了用于配置Cookie的API。1.x API已被标记为过时,并且在CookieAuthenticationOptions类中引入了一种类型为CookieBuilder新的Cookie属性。建议您迁移到2.x API。
在Startup.cs的ConfigureServices方法中使用CookieAuthenticationOptions的例子如下:
services.AddAuthentication() .AddCookie(options => { options.Cookie.Name = "AuthCookie"; options.Cookie.Domain = "contoso.com"; options.Cookie.Path = "https://www.jb51.net/"; options.Cookie.HttpOnly = true; options.Cookie.SameSite = SameSiteMode.Lax; options.Cookie.SecurePolicy = CookieSecurePolicy.Always; });
持久Cookie和绝对到期时间