问题标签 [asp.net-authentication]

我有一个 ASP.NET 4 项目，我正在升级到 ASP.NET 5。我的身份验证当前通过将身份验证请求通过消息队列传递到我们的后端系统来工作

如何使用 ASP.NET 5 中的新系统实现这一点？我在网上找到的每篇文档似乎都是为使用 EF（我没有使用）量身定制的，或者需要像这样的荒谬的工作量

我的系统甚至不允许创建用户，所以我只需要一个简单的实现来检查用户详细信息是否有效。

我在没有 ASP.NET Identity 的 ASP.NET Core 1.0 中使用 cookie 中间件 - 如本文所述： https ://docs.asp.net/en/latest/security/authentication/cookie.html

当用户对其个人资料进行某些更改时，我需要更改 cookie 中的一些值。在这种情况下，这篇文章告诉我

调用 context.ReplacePrincipal() 并将 context.ShouldRenew 标志设置为 true

我该怎么做？我认为这篇文章指的是HttpContext。我在 HttpContext 下看不到 ReplacePrincipal() 方法。

我很感激这方面的一些帮助。谢谢。

I am using this to add a newly created user, to role:

In my solution username = email.

I have discovered, when the username/email contains a sign (+, - or anything like that), it will not add the user to a role. The error i get is "User name x is invalid, can only contain letters or digits.". The user gets added succesfully, it is just the AddToRole, that fails.

But i cannot figure out why.

AllowOnlyAlphanumericUserNames is set to false, in IdentityConfig.cs

Any ideas?

我知道这个问题可能会受到一些反对，但我在谷歌上搜索了三天，没有真正可用的结果。

我在 Visual Studio 中创建了一个默认的 ASP.NET Core 1.0 RC1 项目，具有个人用户帐户身份验证/授权。通过这种方式，一切都变得简单易行，因为该项目是使用 搭建的Microsoft.AspNet.Authentication.Cookies，而 VS 2015 完成了所有繁重的工作。

但是，我们希望从同一个项目中公开一个 API（使用相同的数据库、用户、声明等），这些 API 将从移动设备甚至一些简单的 SPA 中使用。这样，我们需要为 API 使用 JWT 之类的东西（有很多关于如何仅使用 WebAPI 执行此操作的教程）。

我们希望使用 MVC（而不是 SPA）方式来完成主要项目，以利用视图/控制器脚手架和 Visual Studio 可以提供的一切。

有很多关于仅 MVC 或仅 WebAPI 方法的教程，但是您能否指出我如何将它们混合在一起？

有没有办法只在 MVC 和 WebAPI 系统范围内使用 JWT？

先感谢您。

我已经根据http://www.wiktorzychla.com/2014/11/forms-authentication-revisited-for-net.html的说明配置了“SessionAuthenticationModule” 。我的应用程序在 .Net 3.5 中，所以我根据“WIF 3.5 和 WIF 4.5 之间的命名空间映射”更改了库映射。当我运行它时，它会抛出如下所示的异常。"

" 主要配置设置如下所示。

我的配置有什么问题吗？请帮我。

我制作了一个 ASP.net 应用程序，现在我想将该应用程序发布到一个 azure 服务器。一切正常，但是当我想使用内置身份验证注册用户时，他想创建一个新数据库。但我希望它与来自应用程序的所有数据位于数据库的同一个数据库中。

我的连接字符串 DefaultConnection 是正确的。我认为我的 IdentityModel 设置正确。

当我在本地运行应用程序时，一切正常。

我究竟做错了什么？

我正在构建一个 MVC5 Web 应用程序，其中 Web API2 用于后端服务器调用，Angularjs 用于客户端代码。该应用程序正在使用 Windows 身份验证。对于 Web API 控制器中的某些方法，我已在特定用户角色上设置了 Authorize 属性。问题是当身份验证失败时，它会弹出 Windows 安全对话框供用户登录。有没有办法阻止此对话框出现并重定向到特定 URL 或返回失败状态代码和错误消息？

我在网上搜索并找到了 OWIN 身份验证的解决方案，但没有找到 Windows 身份验证的解决方案。

更新：不幸的是，Windows 重新启动解决了这个问题 -.-

在我们的 ASP.NET Core (1.0 RC2) 应用程序中，我们有以下要求：只有来自内部网络的用户才能访问一些“调试”页面（由 MVC Core 托管）。这是一个公共网站，我们没有用户登录，而是使用基于自定义 IP 地址的授权来管理它（注意：在我们的案例中，这不是安全风险，因为我们之间有一个代理，所以IP 地址不能从外部欺骗）。

我们也想在 ASP.NET Core 中实现这种基于 IP 地址的授权。我们为此使用自定义策略以及MVC 控制器上的"DebugPages"相应定义。[Authorize(Policy="DebugPages")]然后我们注意到，我们必须有一个经过身份验证的用户才能进入AuthorizeAttribute，我们在请求管道中创建一个，这会产生 Startup.cs 中的以下代码（为简洁起见）：

现在，当在 Visual Studio 2015（使用 IIS Express）的调试中运行时，这可以正常工作。但不幸的是，当（使用 Kestrel）从命令行直接运行时，它不起作用。dotnet run在这种情况下，我们得到以下异常：

当我们提供当前的 Windows 主体而不是具有自定义匿名身份的主体时，会发生同样的错误——所以每次当用户自动进行身份验证时......

那么，为什么在 IIS Express 和 Kestrel 中托管存在差异？任何建议如何解决这个问题？

授权和身份验证非常新，所以也许我错过了一些重要的步骤......只需查看大量参考资料、指南和教程。

我可能需要在我的 WebApiConfig 中做些什么？

或者可能在我的 Global.asax 中：

这是一个针对 .NET Framework 4.5.2 和 Angular 2 前端的 ASP.Net Web API 项目，我在前端没有手动操作，也许我需要这样做？我的本地存储、会话存储和 Cookie 在浏览器上都是空的。

我正在访问的 SQL Server 有一个非常简单的用户登录方法，它返回一个角色和 userId，我在这里的存储库中调用它：

登录前端是使用 Angular 2 构建的，并在提交到以下 API 方法时使用用户名和密码进行 HttpPost 调用，创建身份和主体，并设置线程和 HttpContext：

当我单步执行该代码时，我可以清楚地看到 Thread.CurrentPrincipal 和 HttpContext.Current.User 都被填充，看起来很恰当。

但是如果我用 [Authorize] 属性装饰一个动作，无论是否登录，我都无法访问它。

所以我创建了这些方法，在上述登录过程之后通过浏览器 url 访问它们并逐步执行，结果发现用户从未真正设置过（声明都是空的，等等......）

那么，在设置主体后，我缺少哪一步才能使主体可访问？我是否需要使用 WebApi 的内置“用户”方法以外的其他方法访问它，或者在我的配置中设置某些内容，或者在前端手动执行某些操作？

我使用app.UseCookieAuthentication如下（只是一个简单的例子）；

然后在某个地方我手动创建ClaimsPrincipal和登录用户：

因此生成的 cookie 将包含有关用户角色的信息。

现在的问题是：这样生成的 cookie 安全吗？我的意思是 ASP.NET 是否以某种方式对其进行加密，因此最终用户无法以某种方式手动修改它，例如服务器会认为用户是管理员？当用户修改它时，服务器会注意到 cookie 已损坏吗？