asp.net core cookie认证

asp.net core版本：5.0

客户端：Vue

首先我们看一下服务端代码，在startup类的ConfigureServices函数中添加cookie认证：

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie();
这里没有对cookie做任何的设置，如果你想对cookie做一些设置的做，可以这样写：

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie(option =>
{
option.Cookie.Name = "MyCookie";
});
其他的对cookie的配置都在CookieAuthenticationOptions这个对象中，大家可以转到这个对象的定义，就可以看到有哪些配置。

CookieAuthenticationDefaults.AuthenticationScheme，这个参数其实就是一个字符串：Cookies，告诉服务器采用哪种认证方案。

其他常用的认证方案还有Jwt(Bearer)：JwtBearerDefaults.AuthenticationScheme

不过采用Jwt认证需要安装相应的包，而Cookie认证是ASP.NET CORE自带的认证方式。

在Configure函数中使用认证管道：

app.UseAuthentication();
下面我们写一个登录的函数：

[HttpGet]
public IActionResult Login(string userName, string password)
{
if (userName == "admin" && password == "123456")
{
var claims = new[]
{
new Claim("UserName", userName)
};
var claimsIdentity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme);

var user = new ClaimsPrincipal(claimsIdentity);

HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, user);
return new ObjectResult("登录成功");
}
else
{
return new ObjectResult("用户名或密码不正确");
}
}
没有接触过cookie认证的可能对其中的几个类不太熟悉：Claim、ClaimsIdentity、ClaimsPrincipal。Claim类是声明Cookie的荷载(payload)，就是你想在cookie中存放什么内容。

因为Cookie是存储在客户端浏览器中的，所以Cookie的荷载最好不要存储一些比较敏感重要的信息，因为虽然Cookie是经过加密的，但是还是可以被破解。

最后调用SignInAsync函数将声明注册到认证方案，后面每次接收到客户端发送过来的请求时，服务器都会比较注册时的cookie值和客户端发送过来的cookie值，如果相同则认证成功；如果不同则认证失败。

服务器端的代码到这里就写完了，下面看一下vue客户端。

客户端发送登录请求我用的是axios，这里特别要注意的一点是设置axios向服务器发送请求的时候要携带凭证，代码如下：

import axios from 'axios'
axios.defaults.withCredentials = true
使用cookie认证方案的时候就是要把cookie的值放在请求头里面发送给服务器。

客户端的登录代码：

<template>
<div>
<textarea id="username" placeholder="请输入用户名" v-model="loginusername"></textarea>
<textarea id='pwd' placeholder="请输入密码" v-model="loginpassword"></textarea>
<button @click="login">登录</button>
</div>
</template>

<script>

export default {
data: function () {
return {
return: {
loginusername: '',
loginpassword: ''
}
}
},
methods: {
login () {
let username = this.loginusername
let pwd = this.loginpassword
let uri = `http://localhost:5000/api/login/login?userName=${username}&password=${pwd}`
this.axios({
url: uri,
method: 'get'
}).then(function (res) {
alert('登录成功')
})
}
}
}
</script>
点击登录按钮，我们看一下服务器的返回

 

登录成功后，服务器的响应消息头里有一个Set-Cookie，这里就是cookie的信息。

Vue不需要对这个cookie做任何处理，下次向服务器发送请求时，axios会自动把这个cookie携带在请求的消息头里面。下面我们向服务器发送一个请求，看一下客户端的请求头：

 

可以看到在请求标头里面有cookie的信息，然后请求也成功了。

因为客户端和服务器是完全分离的(域名和端口不同)，所以会存在跨域的问题。这个问题在我的另一篇博客里有提到，博客地址：asp.net core+vue+signalr示例_begeneral的博客-CSDN博客

这里主要说明一个配置：AllowCredentials()。配置跨域时要调用这个函数，允许客户端携带cookie凭证。

在客户端处理cookie的时候，有一个地方卡了我很久(因为我刚开始学习前端)：我之前一直以为客户端在登录成功后要手动保存cookie，然后在发送请求时也要手动在请求头中添加cookie。

后来查了一些资料，才知道只需设置axios在发送请求的时候携带凭证就可以了，所以这行代码很重要：axios.defaults.withCredentials = true
————————————————
版权声明：本文为CSDN博主「begeneral」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/niechaoya/article/details/124449456