.netcore入门12:aspnetcore中cookie认证之服务端保存认证信息

环境:

  • .netcore 3.1.1.0

概念说明:

Ticket:服务端做过身份认证后会将ClaimsPrincipal和一些属性(有效期、滑动窗口等)组装成ticket。
Cookie:浏览器端保存的数据,服务端将生成的ticket加密后以cookie的形式传送给浏览器。

上篇(.netcore入门11:aspnetcore自带cookie的认证期限分析)讲了cookie的保存和有效期,我们发现并没有在服务器上保存任何的痕迹,服务器仅仅读写ticket到浏览器上。这是因为aspnetcore框架默认开启cookie认证后并没有保存认证凭证(ticket)到服务器上,也就是所有的认证信息都是保存在客户端的,如下图所示:
.netcore入门12:aspnetcore中cookie认证之服务端保存认证信息_第1张图片
其实在cookie的认证方案中是预留了ITicketStore接口用来保存ticket的,这个接口定义了四个方法:

using System.Threading.Tasks;

namespace Microsoft.AspNetCore.Authentication.Cookies
{
    public interface ITicketStore
    {
        Task<string> StoreAsync(AuthenticationTicket ticket);
        Task RenewAsync(string key, AuthenticationTicket ticket);
        Task<AuthenticationTicket> RetrieveAsync(string key);
        Task RemoveAsync(string key);
    }
}

可以看到这个接口就是简单的定义了ticket的存取。如果我们要使用这个功能,那么可以自定义一个TicketStore然后在AddCookie()的时候设置一下:AddCookie(o => o.SessionStore = new MemoryCacheTicketStore()),这个MemoryCacheTicketStore是aspnetcore的源码里面带的示例。
如果我们使用了自定义的TicketStore那么服务器就不再把认证过后的ticket以cookie的形式发送到浏览器了,而是把ticket替换为一个更小的“代理ticket”,这个代理ticket只保存了真正ticket的key值,真正的ticket被保存到了TicketStore里。这样浏览器和服务端每次交互ticket的时候都会去TicketStore里做一次转换,逻辑图如下所示:
.netcore入门12:aspnetcore中cookie认证之服务端保存认证信息_第2张图片
注意:
这里说的ITicketStore接口时在Cookie认证方案中定义的,并不是Authentication框架中的,所以它并不是aspnetcore框架中的Session,但是这个ITicketStore确实起到了“Session”的作用。
补充说明:
aspnetcore框架中定义了Session中间件,使用的配置代码为services.AddSession();& app.UseSession();然后在Action里面就可以用了,但和上面说的ITicketStore不是一回事,Session中间件并不需要Authentication,下面简单看下Session中间件是怎么使用的:

public IActionResult Index()
{
  string counter = ControllerContext.HttpContext.Session.GetString("counter");
  ControllerContext.HttpContext.Session.SetString("counter", "0");
  return View();
}

你可能感兴趣的:(.netcore)