M.O*_*.Ob 9 c# openid authentication asp.net-mvc owin
我有一个控制器,我在构造函数中注入一个服务接口.该服务还将接口注入其构造函数中.IoC容器(Unity)在构造为给定接口返回的类之一时需要使用有关用户的信息.
发生的事情是,在评估[Authorize]属性并验证用户之前,控制器正在实例化.这迫使Unity执行依赖注入并在用户登录之前使用有关用户的信息.当我们使用集成的Windows身份验证时,这都不是问题,但现在我们使用OpenID Connect到Azure AD并且用户信息不是'直到他们登录为止(在控制器实例化后发生).
我听说(在其他帖子中)有一种方法可以配置我的owin启动类以在过程的早期移动身份验证,但我找不到任何关于如何执行此操作的示例.我需要在实例化控制器之前进行身份验证.
这是我所拥有的简化示例......
控制器:
[Authorize]
public class MyController : Controller
{
private readonly IMyService myService;
public MyController(IMyService myService)
{
this.myService = myService;
}
// ...
}
Unity配置:
public class UnityBootstrap : IUnityBootstrap
{
public IUnityContainer Configure(IUnityContainer container)
{
// ...
return container
.RegisterType<ISomeClass, SomeClass>()
.RegisterType<IMyService>(new InjectionFactory(c =>
{
// gather info about the user here
// e.g.
var currentUser = c.Resolve<IPrincipal>();
var staff = c.Resolve<IStaffRepository>().GetBySamAccountName(currentUser.Identity.Name);
return new MyService(staff);
}));
}
}
OWIN启动(Startup.Auth.cs):
public void ConfigureAuth(IAppBuilder app)
{
app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
app.UseCookieAuthentication(new CookieAuthenticationOptions());
app.UseOpenIdConnectAuthentication(
new OpenIdConnectAuthenticationOptions
{
ClientId = this.clientID,
Authority = this.authority,
PostLogoutRedirectUri = this.postLogoutRedirectUri,
Notifications = new OpenIdConnectAuthenticationNotifications
{
RedirectToIdentityProvider = context =>
{
context.ProtocolMessage.DomainHint = this.domainHint;
return Task.FromResult(0);
},
AuthorizationCodeReceived = context =>
{
var code = context.Code;
var credential = new ClientCredential(this.clientID, this.appKey.Key);
var userObjectID = context.AuthenticationTicket.Identity.FindFirst("http://schemas.microsoft.com/identity/claims/objectidentifier").Value;
var authContext = new AuthenticationContext(this.authority, new NaiveSessionCache(userObjectID));
var result = authContext.AcquireTokenByAuthorizationCode(code, new Uri(HttpContext.Current.Request.Url.GetLeftPart(UriPartial.Path)), credential, this.graphUrl);
AzureAdGraphAuthenticationHelper.Token = result.AccessToken;
return Task.FromResult(0);
}
}
});
}
在找不到任何专门针对我的在线问题之后,我决定深入研究ASP.NET MVC 5应用程序生命周期.我发现我可以创建一个自定义IControllerFactory(或从DefaultControllerFactory继承),我可以在其中定义CreateController方法.
在CreateController期间,我检查用户是否经过身份验证.如果是,我只需让DefaultControllerFactory像往常一样创建控制器.
如果用户未经过身份验证,我会创建我的(非常)简单的"Auth"控制器,而不是请求的控制器(具有多层依赖关系的控制器),而RequestContext保持不变.
Auth控制器将被实例化,没有任何问题,因为它没有依赖关系.注意:Auth控制器上不执行任何操作.创建Auth控制器后,全局AuthorizeAttribute将启动并指示用户进行身份验证(通过OpenID连接到Azure AD和ADFS).
登录后,它们会重定向回我的应用程序,原始的RequestContext仍然可以使用.CusomControllerFactory将用户视为已通过身份验证,并创建了所请求的控制器.
这种方法对我很有用,因为我的控制器有一个大的依赖链被注入(即Controller依赖于ISomeService,它依赖于许多ISomeRepository,ISomeHelper,ISomethingEles ......)并且在用户登录之前不会解析任何依赖关系.
我仍然乐于听取关于如何实现我在原始问题中提出的问题的其他(更优雅)想法.
CustomControllerFactory.cs
public class CustomControllerFactory : DefaultControllerFactory
{
public override IController CreateController(RequestContext requestContext, string controllerName)
{
var user = HttpContext.Current.User;
if (user.Identity.IsAuthenticated)
{
return base.CreateController(requestContext, controllerName);
}
var routeValues = requestContext.RouteData.Values;
routeValues["action"] = "PreAuth";
return base.CreateController(requestContext, "Auth");
}
}
的Global.asax.cs
public class MvcApplication : HttpApplication
{
protected void Application_Start()
{
// ...
ControllerBuilder.Current.SetControllerFactory(typeof(CustomControllerFactory));
}
// ...
}
AuthController.cs
public class AuthController : Controller
{
public ActionResult PreAuth()
{
return null;
}
}