问题标签 [asp.net-authentication]

我正在开发 ASP.NET CORE MVC 应用程序，我需要在 Active Directory/Window 身份验证上对用户进行身份验证，但也需要使用表单身份验证。

在表单身份验证中，我需要为具有特定用户名和密码的超级管理员用户凭据提供机制。这是出于目的，超级管理员帐户可以应用程序上的所有内容，但也不绑定到任何特定用户。

我怎样才能做到这一点？

当我尝试访问托管在 IIS 6.0 中的 ASP.NET MVC Web 应用程序时，我收到一个窗口弹出窗口，要求我输入我的 Windows 登录名和密码。输入凭据后，我可以进入登录页面。

在下面的屏幕截图中查看当 Windows 登录提示弹出时 fiddler 捕获的内容。为了避免这个窗口提示，我需要什么设置？

我们的应用程序需要通过手机号码或谷歌登录。我们正计划通过 Twitter Digits 进行手机号码认证。

据我了解，注册和认证流程如下：

1. 移动应用程序使用 Twitter Digits 或 Google 登录进行丰富的身份验证（用户执行丰富的身份验证而不是打开 Web 浏览器选项卡会带来更好的用户体验）。Twitter Digits / Google 登录返回身份令牌。

2. 移动应用程序调用 AuthServer 来登录并提供身份令牌。

3. 身份服务器使用 Digits 服务或 Google Auth 服务验证提供的身份令牌。

4. 验证后，AuthServer 将尝试查找用户，如果不存在，它将创建一个。

5. AuthServer 将访问令牌返回给移动应用程序。

现在，我正在寻找实施步骤#3-4 的选项。

目前，我所做的是修改令牌端点代码，将用户名作为电话号码或电子邮件地址和密码作为 Google/Twitter Digits ID 令牌发送。现在，由于身份验证服务器需要知道发送的密码实际上是一个需要通过第三方服务验证的令牌，因此我通过在 TokenHint 中发送服务名称“Digits”或“Google”来解决它。

这很好用，但我想知道支持我想要实现的目标的最干净的方法是什么。

我在我的应用程序中使用 auth0 进行身份验证、角色和权限。我正在按照以下教程在我的应用程序中实现 auth0，

https://auth0.com/docs/quickstart/webapp/aspnet

它为我创建了登录屏幕，在提供电子邮件 ID 和密码后，它导航到 LoginHandler.ashx。它显示在错误页面下方。

我正在获取令牌、用户 ID 和其他信息，但如何解决处理程序中的此错误？

我有一个 ASP.NET Core Web 应用程序，我正在用 Authorize 属性装饰一些控制器操作方法。

因此，当我未登录时，它不会进行任何重定向，只会向我显示该控制器操作的空白页面。我已经阅读了几个教程，他们谈到了 Cookie 身份验证。

因此，我在 Startup.cs 中进行了更改并添加了以下内容：

我还对 Authorize 属性进行了更改，以将 ActiveAuthenticationScheme 包括为：

现在，当我尝试执行该控制器操作时，我得到了登录页面。我能够成功登录，但我再次被重定向到登录页面，而不是显示控制器操作方法 View。

我可以说我已成功登录，因为我可以在页面顶部看到我的电子邮件和“注销”按钮（带有部分视图的布局）。似乎我已通过身份验证但未授权。确实，我应该看到禁止页面，但我只看到登录页面。

我在这里错过了什么吗？为什么我在登录后仍被重定向到登录页面？

.

我正在使用 ASP .NET MVC 内置模板进行身份验证。对于一些自定义角色，我在另一个页面上复制了新注册用户代码并通过以下方式存储在数据库中。

在模板 AccountController 中看起来如下

两者都将密码和电子邮件等存储在密码中，但 myCode 以纯文本格式存储，模板代码以加密格式存储密码。

当我尝试登录时，模板注册用户正确执行并登录，但我的代码给了我以下错误。

输入不是有效的 Base-64 字符串，因为它包含非 base 64 字符、两个以上的填充字符或填充字符中的非空白字符。

我该如何解决这个问题？

本文档部分描述了如何使用多个身份验证方案：

在某些情况下，例如单页应用程序，最终可能会使用多种身份验证方法。例如，您的应用程序可能使用基于 cookie 的身份验证来登录和 JavaScript 请求的承载身份验证。在某些情况下，您可能有多个身份验证中间件实例。例如，两个 cookie 中间件，其中一个包含基本身份，另一个是在触发多因素身份验证时创建的，因为用户请求了需要额外安全性的操作。

例子：

但是它只描述了如何使用 Bearer 或 Cookie 身份验证。尚不清楚哪些其他组合是有效的，或者如何正确地向客户端发出不记名或 cookie。

那怎么能做到呢？

我一直在谷歌搜索类似的术语

为 mvc 身份验证配置数据库

但是我在这十年中找不到任何与我的配置相关的东西。

我使用具有身份验证支持的 .NET Framework 4.6 创建了一个 MVC 应用程序（首先是数据库）。现在我在哪里可以找到创建数据库表和配置 MVC 以使用它们的分步说明？

感谢您的任何提示！

我在 Visual Studio 2017 中启动了一个全新的针对 .NET Core 的新 ASP.NET Core 项目——最终版本。

我安装了一堆 NuGet 包进行身份验证。黄色警告是什么意思？看起来我只有Microsoft.AspNetCore.Authenticationand Microsoft.AspNetCore.Authentication.OAuth。Facebook 和 Google 软件包似乎还可以。知道问题是什么吗？

更新：关闭 VS 2017 并重新打开它似乎已经解决了这个问题。我在 VS 2017 中看到了很多类似的问题，关闭和重新打开它似乎会让问题消失。只有我一个人有这个问题吗？关于如何让 VS 2017 正常运行的任何建议？

在这篇文章中，讨论了 B2C 中的多种策略来保护不同的端点，从而迫使某人再次登录以获取更敏感的资源。

这听起来很棒，并且在这个 SO 帖子中得到了回应，其中给出了 Facebook 或 Google 的示例。

我已经尝试过实现这一点，在一个控制器上设置两个可接受的策略，在另一个控制器上设置一个策略。

如果您选择了安全策略较低的页面并登录，然后您选择了另一个具有更安全策略的页面，则会要求您再次登录。到目前为止，一切都很好。

但是现在 cookie 包含安全策略的短暂过期，因此在 cookie 过期后您将被要求再次登录，即使您来自原始不太安全登录的 cookie 仍然有效。并且您在更安全的 cookie 的短暂间隔后反复登录。

我如何告诉它切换回使用仍然有效的旧 cookie（如果它仍然存在）？

我一直在考虑这个问题，我不确定是否有更好的处理方法是检查issued at授权政策中的声明，看看它是否足够新，如果不是，则返回未经授权的，这样他们将被迫登录再次。届时，他们将获得另一个长期存在的令牌，并带有新的issued at声明，并且可以在该站点上的任何地方进行访问。

有任何想法吗？

TIA