首先我們實現Cookie認證，然后再次引入JWT，最后在結合二者使用時聯系其他我們可能需要注意的事項

Cookie認證

在startup中我們添加cookie認證服務，如下：

1. services.AddAuthentication(options => 
2. { 
3.     options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme; 
4.     options.DefaultChallengeScheme = CookieAuthenticationDefaults.AuthenticationScheme; 
5. }) 
6. .AddCookie(options => 
7. { 
8.     options.ExpireTimeSpan = TimeSpan.FromMinutes(1); 
9.     options.Cookie.Name = "user-session"; 
10.     options.SlidingExpiration = true; 
11. }); 

接下來則是使用認證和授權中間件，注意將其置于路由和終結點終結點之間，否則啟動也會有明確異常提示

1. app.UseRouting(); 
2.  
3. app.UseAuthentication(); 
4.  
5. app.UseAuthorization(); 
6.  
7. app.UseEndpoints(endpoints => 
8. { 
9.   ...... 
10. }); 

我們給出測試視圖頁，并要求認證即控制器添加特性

1. [Authorize] 
2. public class HomeController : Controller 
3. { 
4.     public IActionResult Index() 
5.     { 
6.         return View(); 
7.     } 
8. } 

當進入首頁，未認證默認進入account/login，那么接下來創建該視圖

1. public class AccountController : Controller 
2. { 
3.     [AllowAnonymous] 
4.     public IActionResult Login() 
5.     { 
6.       return View(); 
7.     } 
8.     ...... 
9. } 

我們啟動程序先看看效果

如上圖，自動跳轉至登錄頁，此時我們點擊模擬登錄按鈕，發起請求去模擬登錄(發起ajax請求代碼就占不用篇幅給出了)

1. /// <summary> 
2. /// 模擬登錄 
3. /// </summary> 
4. /// <returns></returns> 
5. [HttpPost] 
6. [AllowAnonymous] 
7. public async Task<IActionResult> TestLogin() 
8. { 
9.     var claims = new Claim[] 
10.     { 
11.       new Claim(ClaimTypes.Name, "Jeffcky"), 
12.     }; 
13.  
14.     var claimsIdentity = new ClaimsIdentity(claims, "Login"); 
15.  
16.     await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(claimsIdentity)); 
17.  
18.     return Ok(); 
19. } 

上述無非就是構建身份以及該身份下所具有的身份屬性，類似個人身份證唯一標識個人，身份證上各個信息即表示如上聲明

同時呢，肯定要調用上下文去登錄，在整個會話未過期之前，根據認證方案獲取對應處理方式，最后將相關信息進行存儲等等，有興趣的童鞋可以去了解其實現細節哈

當我們請求過后，再次訪問首頁，將看到生成當前會話信息，同時我們將會話過期設置為1分鐘，在1分鐘內未進行會話，將自動重定向至登錄頁

注意如上標注并沒有值，那么這個值可以設置嗎?當然可以，在開始配置時我們并未給出，那么這個屬性又代表什么含義呢?

1. options.Cookie.MaxAge = TimeSpan.FromMinutes(2); 

那么結合ExpireTimeSpan和MaxAge使用，到底代表什么意思呢?我們暫且撇開滑動過期設置

ExpireTimeSpan表示用戶身份認證票據的生命周期，它是認證cookie的有效負載，存儲的cookie值是一段加密字符串，在每次請求時，web應用程序都會根據請求對其進行解密

MaxAge控制著cookie的生命周期，若cookie過期，瀏覽器將會自動清除，如果沒有設置該值，實質上它的生命周期就是ExpireTimeSpan，那么它到底有何意義呢?

上述我們設置票據的生命周期為1分鐘，同時我們控制cookie的生命周期為2分鐘，若在2分鐘內關閉瀏覽器或重啟web應用程序，此時cookie生命周期并未過期，所以仍將處于會話狀態即無需登錄，若未設置MaxAge，關閉瀏覽器或重啟后將自動清除其值即需登錄，當然一切前提是未手動清除瀏覽器cookie

問題又來了，在配置cookie選項中，還有一個也可以設置過期的屬性

1. options.Cookie.Expiration = TimeSpan.FromMinutes(3); 

當配置ExpireTimeSpan或同時配置MaxAge時，無需設置Expiration，因為會拋出異常

JWT認證

上述已經實現Cookie認證，那么在與第三方進行對接時，我們要使用JWT認證，我們又該如何處理呢?

首先我們添加JWT認證服務

1. .AddJwtBearer(options => 
2. { 
3.     options.TokenValidationParameters = new TokenValidationParameters 
4.     { 
5.       ValidateIssuerSigningKey = true, 
6.       IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("1234567890123456")), 
7.       ValidateIssuer = true, 
8.       ValidIssuer = "http://localhost:5000", 
9.       ValidateAudience = true, 
10.       ValidAudience = "http://localhost:5001", 
11.       ValidateLifetime = true, 
12.       ClockSkew = TimeSpan.FromMinutes(5) 
13.     }; 
14. }); 

將JWT Token置于cookie中，此前文章已有講解，這里我們直接給出代碼，先生成Token

1. private string GenerateToken(Claim[] claims) 
2. { 
3.     var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("1234567890123456")); 
4.  
5.     var token = new JwtSecurityToken( 
6.       issuer: "http://localhost:5000", 
7.       audience: "http://localhost:5001", 
8.       claims: claims, 
9.       notBefore: DateTime.Now, 
10.       expires: DateTime.Now.AddMinutes(5), 
11.       signingCredentials: new SigningCredentials(key, SecurityAlgorithms.HmacSha256) 
12.     ); 
13.  
14.     return new JwtSecurityTokenHandler().WriteToken(token); 
15. } 

在登錄方法中，將其寫入響應cookie中，如下這般

1. /// <summary> 
2. /// 模擬登錄 
3. /// </summary> 
4. /// <returns></returns> 
5. [HttpPost] 
6. [AllowAnonymous] 
7. public async Task<IActionResult> TestLogin() 
8. { 
9.     var claims = new Claim[] 
10.     { 
11.       new Claim(ClaimTypes.Name, "Jeffcky"), 
12.     }; 
13.  
14.     var claimsIdentity = new ClaimsIdentity(claims, "Login"); 
15.  
16.     Response.Cookies.Append("x-access-token", GenerateToken(claims), 
17.       new CookieOptions() 
18.       { 
19.         Path = "/", 
20.         HttpOnly = true 
21.       }); 
22.  
23.     await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(claimsIdentity)); 
24.  
25.  return Ok(); 
26. } 

去取Bearer Token值，若成功取到這賦值給如下context.Token，所以此時我們需要手動從cookie中取出token并賦值

1. options.Events = new JwtBearerEvents 
2. { 
3.     OnMessageReceived = context => 
4.     { 
5.         var accessToken = context.Request.Cookies["x-access-token"]; 
6.  
7.         if (!string.IsNullOrEmpty(accessToken)) 
8.         { 
9.             context.Token = accessToken; 
10.         } 
11.  
12.         return Task.CompletedTask; 
13.     } 
14. }; 

一切已就緒，接下來我們寫個api接口測試驗證看看

1. [Authorize("Bearer")] 
2. [Route("api/[controller]/[action]")] 
3. [ApiController] 
4. public class JwtController : ControllerBase 
5. { 
6.     [HttpGet] 
7.     public IActionResult Test() 
8.     { 
9.       return Ok("test jwt"); 
10.     } 
11. } 

思考一下，我們通過Postman模擬測試，會返回401嗎?結果會是怎樣的呢?

問題不大，主要在于該特性參數為聲明指定策略，但我們需要指定認證方案即scheme，修改成如下：

如此在與第三方對接時，請求返回token，后續將token置于請求頭中即可驗證通過，同時上述取cookie中token并手動賦值，對于對接第三方則是多余，不過是為了諸多其他原因而已

1. [Authorize(AuthenticationSchemes = "Bearer,Cookies")] 

注意混合認證方案設置存在順序，后者將覆蓋前者即如上設置，此時將走cookie認證

滑動過期思考擴展

若我們實現基于Cookie滑動過期，同時使用signalr進行數據推送，勢必存在問題，因為會一直刷新會話，那么將導致會話永不過期問題，從安全層面角度考慮，我們該如何處理呢?

我們知道票據生命周期存儲在上下文AuthenticationProperties屬性中，所以在配置Cookie選項事件中我們可以進行自定義處理

1. public class CookieAuthenticationEventsExetensions : CookieAuthenticationEvents 
2. { 
3.     private const string TicketIssuedTicks = nameof(TicketIssuedTicks); 
4.  
5.     public override async Task SigningIn(CookieSigningInContext context) 
6.     { 
7.         context.Properties.SetString( 
8.           TicketIssuedTicks, 
9.           DateTimeOffset.UtcNow.Ticks.ToString()); 
10.  
11.         await base.SigningIn(context); 
12.     } 
13.  
14.     public override async Task ValidatePrincipal( 
15.       CookieValidatePrincipalContext context) 
16.     { 
17.         var ticketIssuedTicksValue = context 
18.           .Properties.GetString(TicketIssuedTicks); 
19.  
20.         if (ticketIssuedTicksValue is null || 
21.           !long.TryParse(ticketIssuedTicksValue, out var ticketIssuedTicks)) 
22.         { 
23.           await RejectPrincipalAsync(context); 
24.           return; 
25.         } 
26.  
27.         var ticketIssuedUtc = 
28.           new DateTimeOffset(ticketIssuedTicks, TimeSpan.FromHours(0)); 
29.  
30.         if (DateTimeOffset.UtcNow - ticketIssuedUtc > TimeSpan.FromDays(3)) 
31.         { 
32.           await RejectPrincipalAsync(context); 
33.           return; 
34.         } 
35.  
36.         await base.ValidatePrincipal(context); 
37.     } 
38.  
39.     private static async Task RejectPrincipalAsync( 
40.       CookieValidatePrincipalContext context) 
41.     { 
42.         context.RejectPrincipal(); 
43.         await context.HttpContext.SignOutAsync(); 
44.     } 
45. } 

在添加Cookie服務時，有對應事件選項，使用如下

1. options.EventsType = typeof(CookieAuthenticationEventsExetensions); 

擴展事件實現表示在第一次會話到當前時間截止超過3天，則自動重定向至登錄頁，最后將上述擴展事件進行注冊即可

原文鏈接：https://mp.weixin.qq.com/s/zff_H_7eG0EaV7dP5xoMhg