在 上篇文章 中讲了关于 Identity 需要了解的单词以及相对应的几个知识点,并且知道了Identity处在整个登入流程中的位置,本篇主要是在 .NET 整个认证系统中比较重要的一个环节,就是 认证(Authentication),因为想要把 Identity 讲清楚,是绕不过 Authentication 的。
其实 Identity 也是认证系统的一个具体使用,大家一定要把 Authentication 和 Identity 当作是两个东西,一旦混淆,你就容易陷入进去。
下面就来说一下 ASP.NET Core 中的认证系统是怎么样一回事。不要怕,其实很简单,全是干货~
Getting Started
大家应该还记得在上一篇中的奥巴马先生吧,他现在不住在华盛顿了,他到中国来旅游了,现在住在北京,这几天听说西湖风景不错,于是在 12306 定了一张北京到杭州的高铁票。取到票之后,他向我们展示了一下:
今天是11.11号,奥巴马很开心,原因你懂的。快到出发的时间了,于是,拿着票走到了火车站检票口,刚把身份证和火车票递给检票员。“cut”,导演喊了一声。尼玛原来是在拍电影呢~
导演说:奥巴马,你演的太烂了,别演了,你来演检票员吧,让旁边小李来演要出行路由的奥巴马吧。奥巴马不情愿的说了一声:“好吧,希望小李能够受的了你”。
“action”,导演又喊了一声,故事开始了~
AuthenticationManager
奥巴马当了检票员以后,特别高兴,因为他有权利了呀,他可以控制别人能不能上车了,说不定还能偷偷放几个人进去捞点外快呢。
得知了他能干什么以后,他觉得检票员这个名字简直太 low 了,很快,他就有了一个新的高大上的名字,叫:认证管理员(AuthenticationManager),而且,他觉得他自己应该处在整个核心位置,为什么呢?你想想看,那么庞大的一套铁路载人系统,能不能有收入有钱赚,全靠他给不给放人进去,如果一个人都不放进去,另外那一大帮人只能去喝西北风了。
到这里,聪明的同学可能已经知道奥巴马把他自己放在怎么样一个核心位置了。对,他把自己放到了 HttpContext 里面。怎么样? 够核心吧。
这里延伸第一个知识点:AuthenticationManager 所处的位置
有同学在上面的截图里面发现了 public abstract ClaimsPrincipal User { get; set; }, 这不就是我们上一篇中讲到的 “ 证件当事人 ” ,现在小李扮演的那个角色么? 对,这个 User 就是本文中的小李,被你提前发现他躲着这里了,嘿嘿。
还有一个知识点,就是 AuthenticationScheme,什么意思呢? 且看
奥巴马敢把自己放在这么核心的位置也是有他的能力的,怎么讲呢? 比如说在检票的时候,别人递过来一张身份证和一张火车票,那怎么样验证这两个证件是合法的呢? 以下就是奥巴马提出的针对两种证件的验证方案:
方案1、针对身份证的验证,可以查看其本人是否和身份证头像是否一致,年龄是否符合当事人具体年龄。
方案2、针对火车票的验证,可以看车次,时间是否符合发车目标,另外可以看车票上的身份号码是否和身份证一致。
其中,这每一种方案,就对应一个 AuthenticationScheme(验证方案名称),是不是明白了。
这就是第二个知识点 AuthenticationScheme 很重要。
知道了奥巴马的职责后,就很容易的把代码写出来了:
public abstract class AuthenticationManager { //AuthenticateContext包含了需要认证的上下文,里面就有小李 public abstract Task AuthenticateAsync(AuthenticateContext context); //握手 public abstract Task ChallengeAsync(string authenticationScheme, AuthenticationProperties properties, ChallengeBehavior behavior); //登入 public abstract Task SignInAsync(string authenticationScheme, ClaimsPrincipal principal, AuthenticationProperties properties); //登出 public abstract Task SignOutAsync(string authenticationScheme, AuthenticationProperties properties); }
奥巴马做为一个检票员,有一个认证方法,AuthenticateAsync() ,注意这是其一个核心功能,其他几个都可以没有,但是唯独不能没有这个功能,没有的话他就不能称之为一个检票员了。
然后还有一个握手ChallengeAsync,登入SignInAsync和登出SignOutAsync,下面说说笔者对这三个方法的理解吧。
ChallengeAsync:是社区协议文件 RFC2167 定义的关于在HTTP Authentication 过程中的一种关于握手的一个过程,主要是摘要认证(digest authentication)。
是不是有点专业,看不懂,没事,有通俗版本的。 小李要进站了,这个时候小李问了一下我们的检票员奥巴马先生。
小李:“你好,检票员,我可以进站吗?”
检票员奥巴马:“要赶火车吗?可以啊,请出示你的证件?”
小李:“好的,这是我的证件,你检查一下?”
检票员奥巴马:“嗯,证件没问题,进去吧”
这样一个过程就是握手(digest-challenge)或者叫问答的一个过程,明白了 ChallengeAsync 的原理了吧? 是不是很简单。