c# - 当用户通过身份验证时，发布方法上的防伪异常（为基于声明的不同用户提供的防伪令牌）

问题描述

我正在使用ASP.NET Core 2.2和AspNetCore.Authentication。

我正在尝试在我的 _Layout 视图组件的表单中使用Post调用：cshtml

<form asp-controller="Home" asp-action="SearchResults" method="post" enctype="multipart/form-data" asp-antiforgery="true" novalidate>

(...)

</form>

我的意图是用搜索属性掩盖 URL，以使网络抓取和抓取更加困难。我的Post方法是更新我的控制器的静态字段，并重定向到我的 IndexGet方法，其中显示了搜索结果：

    private static SearchViewModel _searchModel;
    private static string _sortOrder;
    private static int? _pageNumber;

(...)

[HttpPost]
        [AllowAnonymous]
        public IActionResult SearchResults(SearchViewModel searchModel, string sortOrder, int? pageNumber = 1)
        {
            _searchModel = searchModel;
            _sortOrder = sortOrder;
            _pageNumber = pageNumber;

            return RedirectToAction(nameof(Index));
        }

和Get方法签名：

[HttpGet]
        [AllowAnonymous]
        public async Task<IActionResult> Index()
{
    //refering to updated fields
}

受此SO 回复启发的想法。

和 Setup.cs 身份/身份验证设置：

public void ConfigureServices(IServiceCollection services)
        {
             services.AddIdentity<AppUser, IdentityRole>(opts => {
                opts.User.RequireUniqueEmail = true;
                opts.User.AllowedUserNameCharacters = null; //disable validation
                opts.Password.RequiredLength = 8;
                opts.Password.RequireNonAlphanumeric = false;
                opts.Password.RequireLowercase = false;
                opts.Password.RequireUppercase = false;
                opts.Password.RequireDigit = true;
            })
            .AddEntityFrameworkStores<ApplicationDbContext>()
            .AddDefaultTokenProviders();
            services.AddAntiforgery(x => x.HeaderName = "X-CSRF-TOKEN");
            .Services.ConfigureApplicationCookie(options =>
            {
                //previous cookies not valid
                options.SlidingExpiration = true;
                options.ExpireTimeSpan = TimeSpan.FromDays(1);
            });
            services.AddMvc(options =>
            {
                options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());
                options.Filters.Add<AuditUserActionFilter>();
            });
            
            (...)
        }

        public void Configure(IApplicationBuilder app, IHostingEnvironment env, IAntiforgery antiforgery)
        {
            (...)
            
            app.Use(next => context =>
            {
                if (context.Request.Path == "/")
                {
                    var tokens = antiforgery.GetAndStoreTokens(context);
                    context.Response.Cookies.Append("CSRF-TOKEN", tokens.RequestToken, new CookieOptions { HttpOnly = false });
                }
                return next(context);
            });
            app.UseAuthentication();
        }
    }

我相信这是一个关键：实际上，当我Post以访客身份（未经过身份验证）提交表单时，一切正常。但是登录后，在提交表单时，我收到了一个异常：

为不同的基于声明的用户提供了防伪令牌

另外请在下面找到我的用户身份验证过程：

if (user != null)
                {
                    await _signInManager.SignOutAsync();

                    var result = await _signInManager.PasswordSignInAsync(user, details.Password, false, false);

                    if (result.Succeeded)
                    {
                        if (!string.IsNullOrEmpty(returnUrl) && Url.IsLocalUrl(returnUrl))
                            return Redirect(returnUrl);
                        else
                            return RedirectToAction(nameof(Account));
                    }
                    else if (result.IsLockedOut || result.IsNotAllowed)
                    {
                        ViewBag.Message = "You are not allowed to sign in.";
                        return View("Error");
                    }
                    else
                    {
                        ModelState.AddModelError(nameof(UserLoginViewModel.Password), "Incorrect password.");
                        return View("Index");
                    }
                }

我从这里尝试了几种方法，在这里没有结果。但它们适用于旧版本的 ASP.NET Core。我不确定我应该如何为经过身份验证的用户更新我的防伪令牌？

我的问题的可能原因：

1. 对 Post 的误解 -> 获取表单调用。
2. 不了解身份验证 cookie 在 ASP.NET Core 身份验证中的工作原理。
3. 对身份验证过程的一般误解。

PS 当我删除

options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());

从：

services.AddMvc(options =>
            {
                options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());
                options.Filters.Add<AuditUserActionFilter>();
            });

我可以Post打电话。但我相信，这并不奇怪。

编辑： 由于某种原因，当我从另一个视图（表单在 _Layout 的视图组件中）而不是 Home/Index（我显示搜索结果的地方）提交表单时，没有防伪异常。

难道是因为HomeController'的Index动作是Get？添加Post / Get属性后：

[AllowAnonymous]
        [HttpGet, HttpPost]
        public async Task<IActionResult> Index()

我和以前有同样的例外。添加后：

[AllowAnonymous]
        [ValidateAntiForgeryToken]
        public async Task<IActionResult> Index()

我根本无法加载视图，因为它正在请求令牌。

如何绕过它？

标签： c#authenticationcookiesasp.net-core-2.2antiforgerytoken