将ClaimsIdentity添加到ClaimsPrincipal - JwtBearer

Question

我的系统包含两个授权步骤（但不是标准方式）。

我的客户端应用程序首先连接服务器传递登录名和密码（它就像ApiSecret和ApiKey）。

接下来，在身份验证之后，服务器返回带有基本信息（用户名，角色等）的持有者令牌。但请注意，此用户就像ApiClient不是活人：）

接下来，应用程序显示登录表单。现在是活人登录的时候了。因此，他将自己的凭据传递给API，以检查该用户是否可以登录。

这是我遇到问题的地方。到现在为止我认为它会像那样工作：

如果用户可以登录到应用程序，我会创建新的ClaimsIdentity并将其添加到ClaimsPrincipal Identities。

这个想法很棒，但它不起作用：/事实证明，下一个请求不会发送第二个身份信息。我甚至知道为什么。 Becase ClaimsPrincipal是根据收到的承载令牌创建的。但是这些知识并没有解决我的问题。

如何将新的ClaimsIdentity添加到现有的ClaimsPrincipal并在请求之间存储此值？ （直到用户退出应用程序）

Answer 1

经过大量的挖掘和研究，我能够创建一个解决方案（.Net Core 2）。 您必须在配置服务中添加Cookie身份验证，所有这些应该如下所示：

services.AddAuthentication(options =>
            {
                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;

            })
            .AddJwtBearer(cfg =>
            {
                 //standard settings
            })
            .AddCookie(AuthTypes.CLIENT_AUTHENTICATION_TYPE, cfg =>
                {
                    //cookie settings; the most important is following event:
                    cfg.Events.OnValidatePrincipal = (CookieValidatePrincipalContext ctx) =>
                    {
                        ClaimsPrincipal mainUser = ctx.HttpContext.User; //get ClaimsPrincipal from JwtBearer
                        ClaimsPrincipal cookieUser = ctx.Principal; //get ClaimsPrincipal read from Cookie

                        Debug.Assert(mainUser.Identities.Count() == 1);

                        //now we have to add ClaimsIdentity to main ClaimsPrincipal (from JwtBearer). We add only those absent in main ClaimsPrincipal (here is simplified solution) 
                        var claimsToAdd = cookieUser.Identities.Where(id => id.AuthenticationType != mainUser.Identities.ElementAt(0).AuthenticationType);
                        mainUser.AddIdentities(claimsToAdd);
                        return Task.CompletedTask;
                    };
                }

            );

AuthTypes.CLIENT_AUTHENTICATION_TYPE - 它只是您的身份验证类型名称的字符串。

接下来，我们必须稍后在ConfigureServices（基本配置）中配置默认​​策略过滤器：

services.AddMvc(config =>
{
    var defaultPolicy = new AuthorizationPolicyBuilder(new[] { JwtBearerDefaults.AuthenticationScheme, AuthTypes.CLIENT_AUTHENTICATION_TYPE })
        .RequireAuthenticatedUser()
        .Build();
    config.Filters.Add(new AuthorizeFilter(defaultPolicy));
});

这里重要的是在AuthorizationPolicyBuilder中传递此数组。

现在授权将考虑JwtBearer，但也会读取cookie。

现在如何设置cookie。这可以是额外的登录过程（您在控制器级别执行此操作）：

var authProps = new AuthenticationProperties
{
    IsPersistent = true,
    IssuedUtc = DateTimeOffset.Now
};

await HttpContext.SignInAsync(AuthTypes.CLIENT_AUTHENTICATION_TYPE, User, authProps);

用户这里只是ClaimsPrincipal，附加了ClaimsIdentities。 这就是所有人：）