将身份验证和标识迁移到 ASP.NET Core 2.0Migrate authentication and Identity to ASP.NET Core 2.0

本文内容

作者: Scott AddieHao Kung

ASP.NET Core 2.0 具有新的身份验证和标识模型,可通过使用服务简化配置。ASP.NET Core 1.x 应用程序使用身份验证或标识可以更新以使用新的模型,如下所述。

更新命名空间Update namespaces

在1.x 中,在 Microsoft.AspNetCore.Identity.EntityFrameworkCore 命名空间中找到了类 IdentityRoleIdentityUser

在2.0 中,Microsoft.AspNetCore.Identity 命名空间成为几个此类类的新宿主。对于默认标识代码,受影响的类包括 ApplicationUserStartup调整 using 语句以解析受影响的引用。

身份验证中间件和服务Authentication Middleware and services

在1.x 项目中,通过中间件配置身份验证。为要支持的每个身份验证方案调用中间件方法。

下面的1.x 示例在Startup.cs中配置具有标识的 Facebook 身份验证:

  1. public void ConfigureServices(IServiceCollection services)
  2. {
  3.     services.AddIdentity<ApplicationUser, IdentityRole>()
  4.             .AddEntityFrameworkStores<ApplicationDbContext>();
  5. }
  7. public void Configure(IApplicationBuilder app, ILoggerFactory loggerfactory)
  8. {
  9.     app.UseIdentity();
  10.     app.UseFacebookAuthentication(new FacebookOptions {
  11.         AppId = Configuration["auth:facebook:appid"],
  12.         AppSecret = Configuration["auth:facebook:appsecret"]
  13.     });
  14. }

在2.0 项目中,通过服务配置身份验证。Startup.csConfigureServices 方法中注册每个身份验证方案。UseIdentity 方法将替换为 UseAuthentication

以下2.0 示例在Startup.cs中配置具有标识的 Facebook 身份验证:

  1. public void ConfigureServices(IServiceCollection services)
  2. {
  3.     services.AddIdentity<ApplicationUser, IdentityRole>()
  4.             .AddEntityFrameworkStores<ApplicationDbContext>();
  6.     // If you want to tweak Identity cookies, they're no longer part of IdentityOptions.
  7.     services.ConfigureApplicationCookie(options => options.LoginPath = "/Account/LogIn");
  8.     services.AddAuthentication()
  9.             .AddFacebook(options =>
  10.             {
  11.                 options.AppId = Configuration["auth:facebook:appid"];
  12.                 options.AppSecret = Configuration["auth:facebook:appsecret"];
  13.             });
  14. }
  16. public void Configure(IApplicationBuilder app, ILoggerFactory loggerfactory) {
  17.     app.UseAuthentication();
  18. }

UseAuthentication 方法添加单个身份验证中间件组件,该组件负责自动身份验证和远程身份验证请求的处理。它将所有单个中间件组件替换为一个公共中间件组件。

下面是每个主要身份验证方案的2.0 迁移说明。

基于 Cookie 的身份验证Cookie-based authentication

选择以下两个选项之一,并在Startup.cs中进行必要的更改:

  • 使用带有标识的 cookie

    • UseIdentity 替换为 Configure 方法中的 UseAuthentication
  1. app.UseAuthentication();

  • ConfigureServices 方法中调用 AddIdentity 方法,以添加 cookie 身份验证服务。

  • (可选)调用 ConfigureServices 方法中的 ConfigureApplicationCookieConfigureExternalCookie 方法以调整标识 cookie 设置。

  1. services.AddIdentity<ApplicationUser, IdentityRole>()
  2.         .AddEntityFrameworkStores<ApplicationDbContext>()
  3.         .AddDefaultTokenProviders();
  5. services.ConfigureApplicationCookie(options => options.LoginPath = "/Account/LogIn");

  • 使用没有标识的 cookie

    • UseAuthentication替换 Configure 方法中的 UseCookieAuthentication 方法调用:
  1. app.UseAuthentication();
  • ConfigureServices 方法中调用 AddAuthenticationAddCookie 方法:
  1. // If you don't want the cookie to be automatically authenticated and assigned to HttpContext.User,
  2. // remove the CookieAuthenticationDefaults.AuthenticationScheme parameter passed to AddAuthentication.
  3. services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
  4.         .AddCookie(options =>
  5.         {
  6.             options.LoginPath = "/Account/LogIn";
  7.             options.LogoutPath = "/Account/LogOff";
  8.         });

JWT 持有者身份验证JWT Bearer Authentication

Startup.cs中进行以下更改:

  • UseAuthentication替换 Configure 方法中的 UseJwtBearerAuthentication 方法调用:
  1. app.UseAuthentication();
  • ConfigureServices 方法中调用 AddJwtBearer 方法:
  1. services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
  2.         .AddJwtBearer(options =>
  3.         {
  4.             options.Audience = "http://localhost:5001/";
  5.             options.Authority = "http://localhost:5000/";
  6.         });

此代码片段不使用标识,因此应通过将 JwtBearerDefaults.AuthenticationScheme 传递到 AddAuthentication 方法来设置默认方案。

OpenID Connect (OIDC)身份验证OpenID Connect (OIDC) authentication

Startup.cs中进行以下更改:

  • UseAuthentication替换 Configure 方法中的 UseOpenIdConnectAuthentication 方法调用:
  1. app.UseAuthentication();
  • ConfigureServices 方法中调用 AddOpenIdConnect 方法:
  1. services.AddAuthentication(options =>
  2. {
  3.     options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
  4.     options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
  5. })
  6. .AddCookie()
  7. .AddOpenIdConnect(options =>
  8. {
  9.     options.Authority = Configuration["auth:oidc:authority"];
  10.     options.ClientId = Configuration["auth:oidc:clientid"];
  11. });
  • OpenIdConnectOptions 操作中的 PostLogoutRedirectUri 属性替换为 SignedOutRedirectUri
  1. .AddOpenIdConnect(options =>
  2. {
  3.     options.SignedOutRedirectUri = "https://contoso.com";
  4. });

Facebook 身份验证Facebook authentication

Startup.cs中进行以下更改:

  • UseAuthentication替换 Configure 方法中的 UseFacebookAuthentication 方法调用:
  1. app.UseAuthentication();
  • ConfigureServices 方法中调用 AddFacebook 方法:
  1. services.AddAuthentication()
  2.         .AddFacebook(options =>
  3.         {
  4.             options.AppId = Configuration["auth:facebook:appid"];
  5.             options.AppSecret = Configuration["auth:facebook:appsecret"];
  6.         });

Google 身份验证Google authentication

Startup.cs中进行以下更改:

  • UseAuthentication替换 Configure 方法中的 UseGoogleAuthentication 方法调用:
  1. app.UseAuthentication();
  • ConfigureServices 方法中调用 AddGoogle 方法:
  1. services.AddAuthentication()
  2.         .AddGoogle(options =>
  3.         {
  4.             options.ClientId = Configuration["auth:google:clientid"];
  5.             options.ClientSecret = Configuration["auth:google:clientsecret"];
  6.         });

Microsoft 帐户身份验证Microsoft Account authentication

有关 Microsoft 帐户身份验证的详细信息,请参阅此 GitHub 问题

Startup.cs中进行以下更改:

  • UseAuthentication替换 Configure 方法中的 UseMicrosoftAccountAuthentication 方法调用:
  1. app.UseAuthentication();
  • ConfigureServices 方法中调用 AddMicrosoftAccount 方法:
  1. services.AddAuthentication()
  2.         .AddMicrosoftAccount(options =>
  3.         {
  4.             options.ClientId = Configuration["auth:microsoft:clientid"];
  5.             options.ClientSecret = Configuration["auth:microsoft:clientsecret"];
  6.         });

Twitter 身份验证Twitter authentication

Startup.cs中进行以下更改:

  • UseAuthentication替换 Configure 方法中的 UseTwitterAuthentication 方法调用:
  1. app.UseAuthentication();
  • ConfigureServices 方法中调用 AddTwitter 方法:
  1. services.AddAuthentication()
  2.         .AddTwitter(options =>
  3.         {
  4.             options.ConsumerKey = Configuration["auth:twitter:consumerkey"];
  5.             options.ConsumerSecret = Configuration["auth:twitter:consumersecret"];
  6.         });

设置默认身份验证方案Setting default authentication schemes

在1.x 中, AuthenticationOptions基类的 AutomaticAuthenticateAutomaticChallenge 属性应在单个身份验证方案上进行设置。没有正确的方法来强制执行此操作。

在2.0 中,已将这两个属性作为单独 AuthenticationOptions 实例的属性删除。可以在Startup.csConfigureServices 方法中的 AddAuthentication 方法调用中配置它们:

  1. services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme);

在上面的代码段中,默认方案设置为 CookieAuthenticationDefaults.AuthenticationScheme ("Cookie")。

或者,使用 AddAuthentication 方法的重载版本设置多个属性。在下面的重载方法示例中,将默认方案设置为 CookieAuthenticationDefaults.AuthenticationScheme可以在单独的 [Authorize] 属性或授权策略中指定身份验证方案。

  1. services.AddAuthentication(options =>
  2. {
  3.     options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
  4.     options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
  5. });

如果满足以下条件之一,则定义2.0 中的默认方案:

  • 希望用户自动登录
  • 在不指定方案的情况下使用 [Authorize] 属性或授权策略

此规则的例外情况是 AddIdentity 方法。此方法为你添加 cookie,并将默认身份验证和质询方案设置为应用程序 cookie IdentityConstants.ApplicationScheme此外,它还会将默认登录方案设置为外部 cookie IdentityConstants.ExternalScheme

使用 HttpContext 身份验证扩展Use HttpContext authentication extensions

IAuthenticationManager 接口是到1.x 身份验证系统的主要入口点。它已替换为 Microsoft.AspNetCore.Authentication 命名空间中的一组新的 HttpContext 扩展方法。

例如,1.x 项目引用 Authentication 属性:

  1. // Clear the existing external cookie to ensure a clean login process
  2. await HttpContext.Authentication.SignOutAsync(_externalCookieScheme);

在2.0 项目中,导入 Microsoft.AspNetCore.Authentication 命名空间,并删除 Authentication 属性引用:

  1. // Clear the existing external cookie to ensure a clean login process
  2. await HttpContext.SignOutAsync(IdentityConstants.ExternalScheme);

Windows 身份验证(http.sys/IISIntegration)Windows Authentication (HTTP.sys / IISIntegration)

Windows 身份验证有两种变体:

  • 该主机仅允许经过身份验证的用户。此变体不受2.0 更改的影响。

  • 宿主允许匿名用户和经过身份验证的用户。此变体受2.0 更改的影响。例如,应用程序应允许IIShttp.sys层上的匿名用户,但在控制器级别对用户进行授权。在此方案中,在 Startup.ConfigureServices 方法中设置默认方案。

对于AspNetCore,请将默认方案设置为 IISDefaults.AuthenticationScheme

  1. using Microsoft.AspNetCore.Server.IISIntegration;
  3. services.AddAuthentication(IISDefaults.AuthenticationScheme);

对于AspNetCore,请将默认方案设置为 HttpSysDefaults.AuthenticationScheme

  1. using Microsoft.AspNetCore.Server.HttpSys;
  3. services.AddAuthentication(HttpSysDefaults.AuthenticationScheme);

未能设置默认方案会阻止授权(质询)请求使用以下例外:


System.InvalidOperationException:未指定任何 authenticationScheme,并且找不到 DefaultChallengeScheme。


有关详细信息,请参阅 在 ASP.NET Core 中配置 Windows 身份验证

IdentityCookieOptions 实例IdentityCookieOptions instances

2.0 更改的副作用是切换到使用命名选项而不是 cookie 选项实例。将删除自定义标识 cookie 方案名称的功能。

例如,1.x 项目使用构造函数注入IdentityCookieOptions 参数传递到AccountController.csManageController.cs中。可从提供的实例中访问外部 cookie 身份验证方案:

  1. public AccountController(
  2.     UserManager<ApplicationUser> userManager,
  3.     SignInManager<ApplicationUser> signInManager,
  4.     IOptions<IdentityCookieOptions> identityCookieOptions,
  5.     IEmailSender emailSender,
  6.     ISmsSender smsSender,
  7.     ILoggerFactory loggerFactory)
  8. {
  9.     _userManager = userManager;
  10.     _signInManager = signInManager;
  11.     _externalCookieScheme = identityCookieOptions.Value.ExternalCookieAuthenticationScheme;
  12.     _emailSender = emailSender;
  13.     _smsSender = smsSender;
  14.     _logger = loggerFactory.CreateLogger<AccountController>();
  15. }

上述构造函数注入在2.0 项目中变得不必要,可以删除 _externalCookieScheme 字段:

  1. public AccountController(
  2.     UserManager<ApplicationUser> userManager,
  3.     SignInManager<ApplicationUser> signInManager,
  4.     IEmailSender emailSender,
  5.     ISmsSender smsSender,
  6.     ILoggerFactory loggerFactory)
  7. {
  8.     _userManager = userManager;
  9.     _signInManager = signInManager;
  10.     _emailSender = emailSender;
  11.     _smsSender = smsSender;
  12.     _logger = loggerFactory.CreateLogger<AccountController>();
  13. }

1.x 项目使用 _externalCookieScheme 字段,如下所示:

  1. // Clear the existing external cookie to ensure a clean login process
  2. await HttpContext.Authentication.SignOutAsync(_externalCookieScheme);

在2.0 项目中,将前面的代码替换为以下代码。可以直接使用 IdentityConstants.ExternalScheme 常量。

  1. // Clear the existing external cookie to ensure a clean login process
  2. await HttpContext.SignOutAsync(IdentityConstants.ExternalScheme);

导入以下命名空间,解析新添加的 SignOutAsync 调用:

  1. using Microsoft.AspNetCore.Authentication;

添加 IdentityUser POCO 导航属性Add IdentityUser POCO navigation properties

已删除基 IdentityUser POCO (普通旧 CLR 对象)的实体框架(EF)核心导航属性。如果你的1.x 项目使用这些属性,请将其手动添加回2.0 项目:

  1. /// <summary>
  2. /// Navigation property for the roles this user belongs to.
  3. /// </summary>
  4. public virtual ICollection<IdentityUserRole<int>> Roles { get; } = new List<IdentityUserRole<int>>();
  6. /// <summary>
  7. /// Navigation property for the claims this user possesses.
  8. /// </summary>
  9. public virtual ICollection<IdentityUserClaim<int>> Claims { get; } = new List<IdentityUserClaim<int>>();
  11. /// <summary>
  12. /// Navigation property for this users login accounts.
  13. /// </summary>
  14. public virtual ICollection<IdentityUserLogin<int>> Logins { get; } = new List<IdentityUserLogin<int>>();

若要防止在运行 EF Core 迁移时出现重复的外键,请将以下内容添加到 IdentityDbContext 类的 "OnModelCreating 方法(在 base.OnModelCreating(); 调用之后):

  1. protected override void OnModelCreating(ModelBuilder builder)
  2. {
  3.     base.OnModelCreating(builder);
  4.     // Customize the ASP.NET Core Identity model and override the defaults if needed.
  5.     // For example, you can rename the ASP.NET Core Identity table names and more.
  6.     // Add your customizations after calling base.OnModelCreating(builder);
  8.     builder.Entity<ApplicationUser>()
  9.         .HasMany(e => e.Claims)
  10.         .WithOne()
  11.         .HasForeignKey(e => e.UserId)
  12.         .IsRequired()
  13.         .OnDelete(DeleteBehavior.Cascade);
  15.     builder.Entity<ApplicationUser>()
  16.         .HasMany(e => e.Logins)
  17.         .WithOne()
  18.         .HasForeignKey(e => e.UserId)
  19.         .IsRequired()
  20.         .OnDelete(DeleteBehavior.Cascade);
  22.     builder.Entity<ApplicationUser>()
  23.         .HasMany(e => e.Roles)
  24.         .WithOne()
  25.         .HasForeignKey(e => e.UserId)
  26.         .IsRequired()
  27.         .OnDelete(DeleteBehavior.Cascade);
  28. }

替换 GetExternalAuthenticationSchemesReplace GetExternalAuthenticationSchemes

已删除同步方法 GetExternalAuthenticationSchemes 以支持异步版本。1.x 项目的控制器/ManageController中包含以下代码:

  1. var otherLogins = _signInManager.GetExternalAuthenticationSchemes().Where(auth => userLogins.All(ul => auth.AuthenticationScheme != ul.LoginProvider)).ToList();

此方法也出现在Views/Account/Login 中。 cshtml

  1. @{
  2.     var loginProviders = SignInManager.GetExternalAuthenticationSchemes().ToList();
  3.     if (loginProviders.Count == 0)
  4.     {
  5.         <div>
  6.             <p>
  7.                 There are no external authentication services configured. See <a href="https://go.microsoft.com/fwlink/?LinkID=532715">this article</a>
  8.                 for details on setting up this ASP.NET application to support logging in via external services.
  9.             </p>
  10.         </div>
  11.     }
  12.     else
  13.     {
  14.         <form asp-controller="Account" asp-action="ExternalLogin" asp-route-returnurl="@ViewData["ReturnUrl"]" method="post" class="form-horizontal">
  15.             <div>
  16.                 <p>
  17.                     @foreach (var provider in loginProviders)
  18.                     {
  19.                         <button type="submit" class="btn btn-default" name="provider" value="@provider.AuthenticationScheme" title="Log in using your @provider.DisplayName account">@provider.AuthenticationScheme</button>
  20.                     }
  21.                 </p>
  22.             </div>
  23.         </form>
  24.     }
  25. }

在2.0 项目中,使用 GetExternalAuthenticationSchemesAsync 方法。ManageController.cs中的更改类似于以下代码:

  1. var schemes = await _signInManager.GetExternalAuthenticationSchemesAsync();
  2. var otherLogins = schemes.Where(auth => userLogins.All(ul => auth.Name != ul.LoginProvider)).ToList();

Login中,foreach 循环中访问的 AuthenticationScheme 属性更改为 Name

  1. @{
  2.     var loginProviders = (await SignInManager.GetExternalAuthenticationSchemesAsync()).ToList();
  3.     if (loginProviders.Count == 0)
  4.     {
  5.         <div>
  6.             <p>
  7.                 There are no external authentication services configured. See <a href="https://go.microsoft.com/fwlink/?LinkID=532715">this article</a>
  8.                 for details on setting up this ASP.NET application to support logging in via external services.
  9.             </p>
  10.         </div>
  11.     }
  12.     else
  13.     {
  14.         <form asp-controller="Account" asp-action="ExternalLogin" asp-route-returnurl="@ViewData["ReturnUrl"]" method="post" class="form-horizontal">
  15.             <div>
  16.                 <p>
  17.                     @foreach (var provider in loginProviders)
  18.                     {
  19.                         <button type="submit" class="btn btn-default" name="provider" value="@provider.Name" title="Log in using your @provider.DisplayName account">@provider.DisplayName</button>
  20.                     }
  21.                 </p>
  22.             </div>
  23.         </form>
  24.     }
  25. }

ManageLoginsViewModel 属性更改ManageLoginsViewModel property change

ManageLoginsViewModel 对象用于ManageController.csManageLogins 操作。在1.x 项目中,对象的 OtherLogins 属性返回类型为 IList<AuthenticationDescription>此返回类型需要 Microsoft.AspNetCore.Http.Authentication的导入:

  1. using System.Collections.Generic;
  2. using Microsoft.AspNetCore.Http.Authentication;
  3. using Microsoft.AspNetCore.Identity;
  5. namespace AspNetCoreDotNetCore1App.Models.ManageViewModels
  6. {
  7.     public class ManageLoginsViewModel
  8.     {
  9.         public IList<UserLoginInfo> CurrentLogins { get; set; }
  11.         public IList<AuthenticationDescription> OtherLogins { get; set; }
  12.     }
  13. }

在2.0 项目中,返回类型更改为 IList<AuthenticationScheme>这一新的返回类型需要使用 Microsoft.AspNetCore.Authentication 导入替换 Microsoft.AspNetCore.Http.Authentication 导入。

  1. using System.Collections.Generic;
  2. using Microsoft.AspNetCore.Authentication;
  3. using Microsoft.AspNetCore.Identity;
  5. namespace AspNetCoreDotNetCore2App.Models.ManageViewModels
  6. {
  7.     public class ManageLoginsViewModel
  8.     {
  9.         public IList<UserLoginInfo> CurrentLogins { get; set; }
  11.         public IList<AuthenticationScheme> OtherLogins { get; set; }
  12.     }
  13. }

其他资源Additional resources

有关详细信息,请参阅 GitHub 上的有关 Auth 2.0问题的讨论。