问题[авторизация]

我非常高兴地阅读了问题的答案讲座：什么可以准确识别网站访问者？。在此过程中，本讲座回答了以下问题：“最流行的身份验证/授权策略是什么？”以及算法的大概描述。好吧，在这个问题上，我想考虑一个更复杂的情况 - 多个应用程序的单一身份验证。

假设我们正在开发 Google Apps 或 Microsoft Office 的类似产品。我们的应用程序（例如 Microsoft Word（例如 N-Docs）或 Google Spreadsheets（例如 N-Spreadsheets））可以作为本机应用程序下载，也可以使用精简的 Web 版本。由于这些应用程序来自同一制造商，因此可以组织单个认证/授权中心。

问题是：什么样的认证策略是合适的，以便一个应用程序中的授权自动执行同一制造商的所有应用程序中的授权？

我们可以肯定地说这是可能的，因为谷歌以某种方式成功了（在网络应用程序的情况下，当然，并且最有可能的是在本机 Andorid 应用程序的情况下）。但这里使用什么身份验证策略呢？

• 就网络而言，我们为每个站点单独存储 cookie，并且我们将在不同的域或子域上拥有应用程序。
• 对于本机应用程序，我们将在系统目录中为每个应用程序拥有一个单独的文件夹，并且无法轻松访问其他应用程序的文件夹。

我找不到问题的解决方案。

该站点要求用户在其他字段中注册。并通过电子邮件授权。我通过一个附加模型添加了这些字段：

class Profile(models.Model):
  user = models.OneToOneField(User, on_delete=models.CASCADE)
  phone = models.IntegerField('Телефон', null=True, blank=True)
  country = models.CharField('Страна', max_length=100, null=True, blank=True)
  city = models.CharField('Город', max_length=100, null=True, blank=True)
  adress = models.CharField('Улица и дом', max_length=300, null=True, blank=True)
  zip_code = models.IntegerField('Почтовый индекс', null=True, blank=True)
  birth_day = models.DateField('День рождения', null=True, blank=True)
  avatar = models.ImageField('Аватар', upload_to='avatar', null=True, blank=True)
  agreement = models.BooleanField('Согласие на обработку', default=True)
  comment = models.TextField('Комментарии', max_length=3000, null=True, blank=True)

  @receiver(post_save, sender=User)
  def create_user_profile(sender, instance, created, **kwargs):
    if created:
      Profile.objects.create(user=instance)

  @receiver(post_save, sender=User)
  def save_user_profile(sender, instance, **kwargs):
    instance.profile.save()

  def admin_display(self):
    return self.user.last_name + ' ' + self.user.first_name

接下来，我制作了 2 个表格在模板中显示：

class ProfileForm(forms.ModelForm):
  class Meta:
    model = Profile
    exclude = ('comment', 'register_date', 'avatar', 'password', )
    widgets = {
      'phone': forms.NumberInput(attrs={'placeholder': '9XXXXXXXXX', 'class': 'form-control', 'id': 'phone'}),
      'country': forms.TextInput(attrs={'placeholder': 'Россия', 'class': 'form-control', 'id': 'country'}),
      'city': forms.TextInput(attrs={'placeholder': 'Москва', 'class': 'form-control', 'id': 'city'}),
      'adress': forms.TextInput(attrs={'placeholder': 'Ленина 25', 'class': 'form-control', 'id': 'adress'}),
      'zip_code': forms.TextInput(attrs={'placeholder': '101000', 'class': 'form-control', 'id': 'zip_code'}),
      'agreement': forms.CheckboxInput(attrs={'class': 'form-check-input', 'id': 'flexSwitchCheckChecked'}),
      'birth_day': DateInput(attrs={'class': 'form-control', 'id': 'birth_day'}),
    }


class UserForm(forms.ModelForm):
  class Meta:
    model = User
    fields = ('first_name', 'last_name', 'email', 'password',)
    widgets = {
      'first_name': forms.TextInput(attrs={'placeholder': 'Иван', 'class': 'form-control', 'id': 'first_name'}),
      'last_name': forms.TextInput(attrs={'placeholder': 'Петров', 'class': 'form-control', 'id': 'last_name'}),
      'email': forms.EmailInput(attrs={'placeholder': 'ivan_petrov@email.ru', 'class': 'form-control', 'id': 'email'}),
      'password': forms.PasswordInput(attrs={'placeholder': 'Пароль', 'class': 'form-control', 'id': 'password'}),
    }

这是视图中的内容：

def registration(request):
  if request.method == 'POST':
    form = UserForm(request.POST)
    if form.is_valid():
      instance = form.save(commit=False)
      instance.username = request.POST['email']
      instance.set_password(request.POST['password'])
      instance.save()
      return redirect('registration')
    else:
      form = UserForm(request.POST)
      profile_form = ProfileForm(request.POST)
      context = {
        'form': form,
        'profile_form': profile_form,
      }
    return render(request, 'user_registration.html', context)
  else:
    form = UserForm()
    profile_form = ProfileForm()
    context = {
      'form': form,
      'profile_form': profile_form,
    }
    return render(request, 'user_registration.html', context)

我没有显示用户名字段。相反，我在那里添加了一封电子邮件。用户已创建。由于某种原因，只有密码没有加密。并且该用户无法登录。我收到登录名/密码匹配错误。而且我找不到登录功能的示例。请帮我解决一下这个。

亲爱的参与者，我请求您帮助解决这个问题：在ASP.Net 6上有一个连接了Microsoft 身份授权的站点，托管在IIS 10 (WinServer 2022)下。在开发中，用户授权（在设置“记住我”复选框时）从此过着幸福的生活。但是，在服务器上，大约10-20 分钟后，授权丢失，您必须重新登录。

这是 IdentityOptions 设置

/* Настройки UserIdentityContext */
services.AddDbContext<UserIdentityContext>(
     options => options.UseSqlServer(Configuration["ConnectionStrings:users_db"]));

IdentityBuilder ibuilder = services.AddIdentity<RnrmmUser, IdentityRole<Guid>>();
ibuilder.AddEntityFrameworkStores<UserIdentityContext>();
ibuilder.AddErrorDescriber<IdentityRussianErrorDescriber>();
ibuilder.AddDefaultTokenProviders();

services.Configure<SecurityStampValidatorOptions>(static options => 
     options.ValidationInterval = TimeSpan.FromHours(1));

services.AddAuthentication().
Services.ConfigureApplicationCookie(static options => {
     options.SlidingExpiration = true;
     options.ExpireTimeSpan = TimeSpan.FromDays(7);
});

services.Configure<IdentityOptions>(static options => {
     options.Password.RequiredLength = 8;
     options.Password.RequireNonAlphanumeric = true;
     options.Password.RequireLowercase = true;
     options.Password.RequireUppercase = true;
     options.Password.RequireDigit = true;
     options.User.RequireUniqueEmail = true;
     options.SignIn.RequireConfirmedAccount = true;
     options.Lockout.DefaultLockoutTimeSpan = TimeSpan.FromMinutes(15);
     options.Lockout.MaxFailedAccessAttempts = 10;
     options.Lockout.AllowedForNewUsers = true;
});

这是我的 Web.config：

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <location path="." inheritInChildApplications="false">
    <system.webServer>
      <rewrite>
        <rules>
          <rule name="Перенаправление на https" stopProcessing="true">
            <match url="(.*)" />
            <conditions>
              <add input="{HTTPS}" pattern="^OFF$" />
            </conditions>
            <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Found" />
          </rule>
        </rules>
      </rewrite>
      <handlers>
        <add name="aspNetCore" path="*" verb="*" modules="AspNetCoreModuleV2" resourceType="Unspecified" />
      </handlers>
      <aspNetCore processPath=".\rnrmm_ru.exe" stdoutLogEnabled="true" stdoutLogFile="w:\logs\rnrmm\errorlog" hostingModel="inprocess" />
    </system.webServer>
  </location>
</configuration>

我是如何尝试解决问题的： 我尝试增加 cookie 的寿命，如下所示：

//Для поддержки сессий
services.AddDistributedMemoryCache();
services.AddSession(static options =>
{
     options.Cookie.Name = ".rnrmm.session.data";
     options.Cookie.IsEssential = true;
     options.Cookie.HttpOnly = false;
     options.Cookie.SecurePolicy = CookieSecurePolicy.Always;
     //Время ожидания
     options.IdleTimeout = TimeSpan.FromDays(1);
});

问题是：

服务器上有通过基本身份验证访问的端点。例如，要访问帖子列表，需要向 /api/posts 发出一个 get 请求，并传递 header Authorization : base64Encode<userlogin,userpass>。

在成功的情况下，像往常一样为 200 状态代码，在失败的情况下，代码为 40*。

代码示例

// Кодируем данные
String base64Auth = stringToBase64.encode("${login}:${password}");

http.get(
      url,
      headers: {
        "Content-Type": "application/json",
        "Authorization": "Basic $base64Auth"
      },
    ).then((http.Response response) {
      final int statusCode = response.statusCode;
       
      // В случае успеха нужно как-то запомнить пользователя, 
      // чтобы после перезапуска приложения авторизация сохранилась
      if (statusCode == 200) {
        
        // Эта переменная сбросится в начальное состояние (false) после перезапуска
        isLoggedIn = true;

        Navigator.pushNamedAndRemoveUntil(
            context, Constants.ROUTE_HOME, (route) => false);
      } else {
        return 'Ошибка авторизации. Проверьте логин и пароль';
      }
    }).catchError((err) {
      //Отправка ошибки на сервер

      return 'Неизвестная ошибка.';
    });

一般来说，问题是如何在flutter上实现cookie之类的东西。

我有一个使用 JWT 进行授权的 ASP.NET Core 2.0 项目。

事情是这样的：

List<Claim> claims = new List<Claim>();
claims.Add(new Claim(ClaimTypes.Name, user.UserName));
claims.Add(new Claim(JwtRegisteredClaimNames.Sub, user.Email));
claims.Add(new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()));

var roles = await _userManager.GetRolesAsync(user);
foreach(var role in roles)
{
     claims.Add(new Claim(ClaimTypes.Role, role));
}

进一步根据角色，授权系统必须工作。

据我了解，在这种情况下，JWT 的优势之一是用户的信息，包括他的角色，不需要从数据库中拉出，而是通过解密 JWT 令牌获得。

如果我写

 [Authorize(Roles = "Moderator")]
 public MaterialViewModel GetMaterial(int i) 

然后一切都按预期工作，没有主持人角色的用户无法完成此请求。

以及如何在不进入数据库的情况下找出用户的角色？使用 JWT 令牌。

我可以像这样获得用户的所有角色：

_userManager.GetRolesAsync(user);

但据我了解（也许我错了）有一个对数据库的请求。

但是理论上角色的信息已经在token里面了，现在怎么获取呢？

我的 JWT 令牌是通过标头传递的，当然我可以将其放入request.headers并手动解密，但 ASP.NET Core 系统在检查[Authorize(Roles = "Moderator")]. 所以我可以在已经解密的地方得到它？