Uwierzytelnianie przy użyciu usług Facebook, Google i dostawców zewnętrznych na platformie ASP.NET Core

Autorzy: Valeriy Novytskyy i Rick Anderson

W tym samouczku pokazano, jak utworzyć aplikację platformy ASP.NET Core, która umożliwia użytkownikom logowanie się przy użyciu protokołu OAuth 2.0 za pomocą poświadczeń od zewnętrznych dostawców uwierzytelniania.

Dostawcy usług Facebook, Twitter, Google i Microsoft są omówieni w kolejnych sekcjach, z użyciem projektu początkowego utworzonego w tym artykule. Inni dostawcy są dostępni w pakietach innych firm, takich jak OpenIddict, AspNet.Security.OAuth.Providers i AspNet.Security.OpenId.Providers.

Umożliwienie użytkownikom logowania się przy użyciu istniejących poświadczeń:

• Jest wygodne dla użytkowników.
• Przenosi wiele złożoności zarządzania procesem logowania do innej firmy.

Tworzenie nowego projektu platformy ASP.NET Core

Program Visual Studio

• Wybierz szablon aplikacji internetowej ASP.NET Core. Wybierz przycisk OK.
• W polu Dane wejściowe typu uwierzytelniania wybierz pozycję Indywidualne konta.

Visual Studio Code/Visual Studio dla komputerów Mac

• Otwórz terminal. W przypadku programu Visual Studio Code możesz otworzyć zintegrowany terminal.

• Zmień katalog (cd) na folder zawierający projekt.

• W systemie Windows uruchom następujące polecenie:

  dotnet new webapp -o WebApp1 -au Individual -uld
  

  W systemach macOS i Linux uruchom następujące polecenie:

  dotnet new webapp -o WebApp1 -au Individual
  

  • Polecenie dotnet new tworzy nowy projekt rozwiązania Razor Pages w folderze WebApp1.
  • Polecenie -au Individual tworzy kod dla indywidualnego uwierzytelniania.
  • Polecenie -uld korzysta z bazy danych LocalDB, czyli lekkiej wersji programu SQL Server Express dla systemu Windows. Pomiń element-uld, aby użyć programu SQLite.
  • Polecenie code otwiera folder WebApp1 w nowym wystąpieniu programu Visual Studio Code.

Stosowanie migracji

• Uruchom aplikację i wybierz link Zarejestruj się.
• Wprowadź adres e-mail i hasło dla nowego konta, a następnie wybierz pozycję Zarejestruj się.
• Postępuj zgodnie z instrukcjami, aby zastosować migracje.

Przekazywanie dalej informacji o żądaniu za pomocą serwera proxy lub modułu równoważenia obciążenia

Jeśli aplikacja jest wdrażana za serwerem proxy lub modułem równoważenia obciążenia, niektóre z pierwotnych informacji o żądaniu mogą zostać przekazane dalej do aplikacji w nagłówkach żądania. Te informacje zazwyczaj obejmują bezpieczny schemat żądań (https), hosta i adres IP klienta. Aplikacje nie odczytują automatycznie tych nagłówków żądań, aby odnaleźć pierwotne informacje o żądaniu i z nich korzystać.

Schemat jest używany do generowania linków, które mają wpływ na przepływ uwierzytelniania przy użyciu zewnętrznych dostawców. W wyniku utraty bezpiecznego schematu (https) aplikacja generuje nieprawidłowe niezabezpieczone adresy URL przekierowania.

Użyj oprogramowania pośredniczącego przekazanych nagłówków, aby udostępnić pierwotne informacje o żądaniu do aplikacji w celu przetworzenia żądania.

Aby uzyskać więcej informacji, zobacz Konfigurowanie platformy ASP.NET Core pod kątem pracy z serwerami proxy i modułami równoważenia obciążenia.

Korzystanie z Menedżera wpisów tajnych w celu przechowywania tokenów przypisanych przez dostawców logowania

Dostawcy logowania mediów społecznościowych przypisują tokeny identyfikatora aplikacji oraz wpisów tajnych aplikacji podczas procesu rejestracji. Dokładne nazwy tokenów różnią się w zależności od dostawcy. Te tokeny reprezentują poświadczenia używane przez aplikację do uzyskiwania dostępu do interfejsu API. Tokeny stanowią „wpisy tajne użytkownika”, które można połączyć z konfiguracją aplikacji za pomocą Menedżera wpisów tajnych. Wpisy tajne użytkownika są bezpieczniejszą alternatywą dla przechowywania tokenów w pliku konfiguracji, na przykład appsettings.json.

Ważne

Menedżer wpisów tajnych jest przeznaczony tylko do celów programistycznych. Wpisy tajne testowania i produkcji platformy Azure można przechowywać i chronić za pomocą dostawcy konfiguracji usługi Azure Key Vault.

Wykonaj kroki opisane w temacie Bezpieczne przechowywanie tworzonych wpisów tajnych na platformie ASP.NET Core, aby przechowywać tokeny przypisane przez każdego dostawcę logowania poniżej.

Konfigurowanie dostawców logowania wymaganych przez aplikację

Zapoznaj się z następującymi tematami, aby skonfigurować aplikację pod kątem korzystania z odpowiednich dostawców:

• Instrukcje dotyczące usługi Facebook
• Instrukcje dotyczące usługi Twitter
• Instrukcje dotyczące usługi Google
• Instrukcje dotyczące usług firmy Microsoft
• Instrukcje dotyczące innych dostawców

Wielu dostawców uwierzytelniania

Jeśli aplikacja wymaga wielu dostawców, utwórz łańcuch metod rozszerzeń dostawców na podstawie metody AddAuthentication:

using Microsoft.AspNetCore.Identity;
using Microsoft.EntityFrameworkCore;
using WebApplication16.Data;

var builder = WebApplication.CreateBuilder(args);
var config = builder.Configuration;

var connectionString = config.GetConnectionString("DefaultConnection");
builder.Services.AddDbContext<ApplicationDbContext>(options =>
    options.UseSqlServer(connectionString));
builder.Services.AddDatabaseDeveloperPageExceptionFilter();

builder.Services.AddDefaultIdentity<IdentityUser>(options =>
                                 options.SignIn.RequireConfirmedAccount = true)
    .AddEntityFrameworkStores<ApplicationDbContext>();
builder.Services.AddRazorPages();
builder.Services.AddControllersWithViews();

builder.Services.AddAuthentication()
   .AddGoogle(options =>
   {
       IConfigurationSection googleAuthNSection =
       config.GetSection("Authentication:Google");
       options.ClientId = googleAuthNSection["ClientId"];
       options.ClientSecret = googleAuthNSection["ClientSecret"];
   })
   .AddFacebook(options =>
   {
       IConfigurationSection FBAuthNSection =
       config.GetSection("Authentication:FB");
       options.ClientId = FBAuthNSection["ClientId"];
       options.ClientSecret = FBAuthNSection["ClientSecret"];
   })
   .AddMicrosoftAccount(microsoftOptions =>
   {
       microsoftOptions.ClientId = config["Authentication:Microsoft:ClientId"];
       microsoftOptions.ClientSecret = config["Authentication:Microsoft:ClientSecret"];
   })
   .AddTwitter(twitterOptions =>
   {
       twitterOptions.ConsumerKey = config["Authentication:Twitter:ConsumerAPIKey"];
       twitterOptions.ConsumerSecret = config["Authentication:Twitter:ConsumerSecret"];
       twitterOptions.RetrieveUserDetails = true;
   });

var app = builder.Build();

if (app.Environment.IsDevelopment())
{
    app.UseMigrationsEndPoint();
}
else
{
    app.UseExceptionHandler("/Error");
    app.UseHsts();
}

app.UseHttpsRedirection();
app.UseStaticFiles();

app.UseRouting();

app.UseAuthentication();
app.UseAuthorization();

app.MapRazorPages();
app.MapDefaultControllerRoute();

app.Run();

Opcjonalne ustawianie hasła

Podczas rejestrowania się za pomocą zewnętrznego dostawcy logowania nie masz hasła zarejestrowanego w aplikacji. To pozwala Ci uniknąć tworzenia i zapamiętywania hasła dla tej witryny, ale również uzależnia Cię od zewnętrznego dostawcy logowania. Jeśli zewnętrzny dostawca logowania jest niedostępny, nie będziesz mieć możliwości zalogowania się do witryny internetowej.

Aby utworzyć hasło i zalogować się za pomocą adresu e-mail ustawionego podczas procesu logowania przy użyciu zewnętrznych dostawców:

• Wybierz link Witaj, <alias e-mail> w prawym górnym rogu, aby przejść do widoku Zarządzaj.

• Wybierz pozycję Utwórz

• Ustaw prawidłowe hasło, którego możesz użyć do zalogowania się przy użyciu adresu e-mail.

Dodatkowe informacje

• Zaloguj się przy użyciu przykładowej integracji firmy Apple
• Zobacz ten problem w serwisie GitHub, aby uzyskać informacje na temat dostosowywania przycisków logowania.
• Utrwalanie dodatkowych danych dotyczących użytkownika oraz ich dostępu i odświeżania tokenów. Aby uzyskać więcej informacji, zobacz Utrwalanie dodatkowych oświadczeń i tokenów od dostawców zewnętrznych na platformie ASP.NET Core.