注入的IPrincipal是匿名的,但Web API Controller User对象已通过身份验证

时间:2014-04-20 05:12:34

标签: c# asp.net security asp.net-web-api ninject

我正在编写一个Web API 2 / MVC5项目,我想要使用ASP.Net Identity对一些必须与IPrincipal一起工作的代码进行单元测试。我没有依赖IPrincipal,而是想在我自己的IUserService后面抽象出来。当我查看我的注入IUserService时,UserIdUserName为空。

public interface IUserService
{
    string UserId { get;  }
    string UserName { get;  }
}

使用的具体实现是:

public class UserService : IUserService
{
    private IPrincipal _principal;

    public UserService(IPrincipal principal)
    {
        _principal = principal;
    }

    public string UserName
    {
        get { return _principal.Identity.GetUserName(); }

    }

    public string UserId
    {
        get { return _principal.Identity.GetUserId(); }

    }
}

这是使用Ninject进行依赖注入。在NinjectWebCommon.cs里面我有:

private static void RegisterServices(IKernel kernel)
{
   kernel.Bind<IBooksService>().To<BooksService>().InRequestScope();
   kernel.Bind<DbContext>().To<ApplicationDbContext>().InRequestScope();
   kernel.Bind<ApplicationDbContext>().To<ApplicationDbContext>().InRequestScope();
   kernel.Bind<IUserStore<ApplicationUser>>().To<UserStore<ApplicationUser>>().InRequestScope();
   kernel.Bind<UserManager<ApplicationUser>>().To<UserManager<ApplicationUser>>().InRequestScope();
   kernel.Bind<IBookRepository>().To<BookRepository>().InRequestScope();
   kernel.Bind<IUserService>().To<UserService>().InRequestScope();
   kernel.Bind<IPrincipal>().ToMethod(ctx => HttpContext.Current.User);
}

如果我创建Func<IPrincipal>并传递()=>HttpContext.Current.User,一切正常。但是,我没有看到任何人需要这样做,所有的例子都表明了这种实现。

2 个答案:

答案 0 :(得分:1)

您是否曾对用户进行身份验证?用户通过身份验证后,您需要负责创建IIdentityIPrincipal。然后,您需要使用Thread.CurrentPrincipal设置IPrincipal,并且还需要将IPrincipal放在当前HttpContext中。

为了使GenericIdentity不被视为匿名,Name属性必须是非空字符串。为了使ClaimsIdentity不被视为匿名,AuthenticationType属性必须是非空的非空字符串。

因此,通常,您将执行以下操作:

// Perform authentication, usually using some kind of AuthenticationFilter or
// AuthorizationFilter.
// After authenticating, and still within the Auth*Filter,

// I'm going to use a GenericIdentity, but this can be converted to a 
// ClaimsIdentity if you're using the default Name claim.
IIdentity identity = new GenericIdentity("myUserName", "myAuthenticationType");

// Again, you could use a ClaimsPrincipal, the concept, however, is the same.
IPrincipal principal = new GenericPrincipal(identity, null /* no roles */);
HttpContext.Current.User = principal;
Thread.CurrentPrincipal = principal;

我确实看到你提到正在使用新的ASP.Net Identity模型。因此,您必须在代码中使用ClaimsIdentityClaimsPrincipal

答案 1 :(得分:0)

这只是我的猜测,但这可能有问题:

kernel.Bind<IUserService>().To<UserService>().InRequestScope();

首次使用IUserService可以在设置HttpContext.Current.User之前进行,因此,您将获得null而不是当前用户,因为在创建UserService时,HttpContext.Current.Usernull。由于您已定义InRequestScope(),因此在后续使用中提供了第一个创建的UserService对象,因此principal始终为null。

我可能会做的只是直接使用HttpContext

public class HttpContextBasedUserService : IUserService
{
    public string UserName
    {
        get { return HttpContext.Current.User.Identity.GetUserName(); }

    }

    public string UserId
    {
        get { return HttpContext.Current.User.Identity.GetUserId(); }

    }
}

如果要在桌面应用程序中使用IUserService,请创建专用于桌面应用程序的实现。