c# - 当用户通过身份验证时,发布方法上的防伪异常(为基于声明的不同用户提供的防伪令牌)
问题描述
我正在使用ASP.NET Core 2.2和AspNetCore.Authentication。
我正在尝试在我的 _Layout 视图组件的表单中使用Post
调用:cshtml
<form asp-controller="Home" asp-action="SearchResults" method="post" enctype="multipart/form-data" asp-antiforgery="true" novalidate>
(...)
</form>
我的意图是用搜索属性掩盖 URL,以使网络抓取和抓取更加困难。我的Post
方法是更新我的控制器的静态字段,并重定向到我的 IndexGet
方法,其中显示了搜索结果:
private static SearchViewModel _searchModel;
private static string _sortOrder;
private static int? _pageNumber;
(...)
[HttpPost]
[AllowAnonymous]
public IActionResult SearchResults(SearchViewModel searchModel, string sortOrder, int? pageNumber = 1)
{
_searchModel = searchModel;
_sortOrder = sortOrder;
_pageNumber = pageNumber;
return RedirectToAction(nameof(Index));
}
和Get
方法签名:
[HttpGet]
[AllowAnonymous]
public async Task<IActionResult> Index()
{
//refering to updated fields
}
受此SO 回复启发的想法。
和 Setup.cs 身份/身份验证设置:
public void ConfigureServices(IServiceCollection services)
{
services.AddIdentity<AppUser, IdentityRole>(opts => {
opts.User.RequireUniqueEmail = true;
opts.User.AllowedUserNameCharacters = null; //disable validation
opts.Password.RequiredLength = 8;
opts.Password.RequireNonAlphanumeric = false;
opts.Password.RequireLowercase = false;
opts.Password.RequireUppercase = false;
opts.Password.RequireDigit = true;
})
.AddEntityFrameworkStores<ApplicationDbContext>()
.AddDefaultTokenProviders();
services.AddAntiforgery(x => x.HeaderName = "X-CSRF-TOKEN");
.Services.ConfigureApplicationCookie(options =>
{
//previous cookies not valid
options.SlidingExpiration = true;
options.ExpireTimeSpan = TimeSpan.FromDays(1);
});
services.AddMvc(options =>
{
options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());
options.Filters.Add<AuditUserActionFilter>();
});
(...)
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env, IAntiforgery antiforgery)
{
(...)
app.Use(next => context =>
{
if (context.Request.Path == "/")
{
var tokens = antiforgery.GetAndStoreTokens(context);
context.Response.Cookies.Append("CSRF-TOKEN", tokens.RequestToken, new CookieOptions { HttpOnly = false });
}
return next(context);
});
app.UseAuthentication();
}
}
我相信这是一个关键:实际上,当我Post
以访客身份(未经过身份验证)提交表单时,一切正常。但是登录后,在提交表单时,我收到了一个异常:
为不同的基于声明的用户提供了防伪令牌
另外请在下面找到我的用户身份验证过程:
if (user != null)
{
await _signInManager.SignOutAsync();
var result = await _signInManager.PasswordSignInAsync(user, details.Password, false, false);
if (result.Succeeded)
{
if (!string.IsNullOrEmpty(returnUrl) && Url.IsLocalUrl(returnUrl))
return Redirect(returnUrl);
else
return RedirectToAction(nameof(Account));
}
else if (result.IsLockedOut || result.IsNotAllowed)
{
ViewBag.Message = "You are not allowed to sign in.";
return View("Error");
}
else
{
ModelState.AddModelError(nameof(UserLoginViewModel.Password), "Incorrect password.");
return View("Index");
}
}
我从这里尝试了几种方法,在这里没有结果。但它们适用于旧版本的 ASP.NET Core。我不确定我应该如何为经过身份验证的用户更新我的防伪令牌?
我的问题的可能原因:
- 对 Post 的误解 -> 获取表单调用。
- 不了解身份验证 cookie 在 ASP.NET Core 身份验证中的工作原理。
- 对身份验证过程的一般误解。
PS 当我删除
options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());
从:
services.AddMvc(options =>
{
options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());
options.Filters.Add<AuditUserActionFilter>();
});
我可以Post
打电话。但我相信,这并不奇怪。
编辑: 由于某种原因,当我从另一个视图(表单在 _Layout 的视图组件中)而不是 Home/Index(我显示搜索结果的地方)提交表单时,没有防伪异常。
难道是因为HomeController
'的Index
动作是Get
?添加Post / Get
属性后:
[AllowAnonymous]
[HttpGet, HttpPost]
public async Task<IActionResult> Index()
我和以前有同样的例外。添加后:
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Index()
我根本无法加载视图,因为它正在请求令牌。
如何绕过它?
解决方案
在没有建议之后,我明白了,我必须将我的Configure
方法app.UseAuthentication();
移到顶部。此外,在阅读文档后我意识到,在使用AddMvc之后,我不再需要引用"CSRF-TOKEN"
.
最后我的 Startup.cs 看起来像:
public void ConfigureServices(IServiceCollection services)
{
services.AddIdentity<AppUser, IdentityRole>(opts => {
opts.User.RequireUniqueEmail = true;
opts.User.AllowedUserNameCharacters = null; //disable validation
opts.Password.RequiredLength = 8;
opts.Password.RequireNonAlphanumeric = false;
opts.Password.RequireLowercase = false;
opts.Password.RequireUppercase = false;
opts.Password.RequireDigit = true;
})
.AddEntityFrameworkStores<ApplicationDbContext>()
.AddDefaultTokenProviders();
.Services.ConfigureApplicationCookie(options =>
{
//previous cookies not valid
options.SlidingExpiration = true;
options.ExpireTimeSpan = TimeSpan.FromDays(1);
});
services.AddMvc(options =>
{
options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());
options.Filters.Add<AuditUserActionFilter>();
});
(...)
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env, IAntiforgery antiforgery)
{
app.UseAuthentication();
(...)
}
}
推荐阅读
- python - 熊猫仅将功能应用于喜欢的组
- r - 对特定列后的行求和以获取不确定的列数
- r - 如何替换 R 中非数字列表中的逗号?
- python - python 元组列表中元素的索引
- html - 反应滚动缺少背景颜色
- google-chrome - Chrome 忽略 alt-svc 标头并且不发送 HTTP/3 请求
- postgresql - 我的 Postgresl 列是否只包含数字?
- python - 每 60.000 从文件中获取行并输出它们
- javascript - 将 javascript UI 库转换为 React Native 组件
- node.js - Eclipse 无法确定 node.js 版本