為你的 .NET Core (MVC) 應用程式新增驗證 (Authentication)
- 以下示範基於 .NET Core 8.0。該 SDK 與 .NET 6.0 或更高版本相容。
- .NET Core 範例專案可在 GitHub 儲存庫 中找到。
先決條件
- 一個 Logto Cloud 帳戶或 自託管 Logto。
- 已建立的 Logto 傳統網頁應用程式。
安裝
將 NuGet 套件新增到你的專案中:
dotnet add package Logto.AspNetCore.Authentication
整合
新增 Logto 驗證 (Authentication)
打開 Startup.cs(或 Program.cs),並新增以下程式碼以註冊 Logto 驗證 (Authentication) 服務:
using Logto.AspNetCore.Authentication;
var builder = WebApplication.CreateBuilder(args);
builder.Services.AddLogtoAuthentication(options =>
{
options.Endpoint = builder.Configuration["Logto:Endpoint"]!;
options.AppId = builder.Configuration["Logto:AppId"]!;
options.AppSecret = builder.Configuration["Logto:AppSecret"];
});
AddLogtoAuthentication 方法將執行以下操作:
- 將預設驗證 (Authentication) 機制設為
LogtoDefaults.CookieScheme。 - 將預設挑戰機制設為
LogtoDefaults.AuthenticationScheme。 - 將預設登出機制設為
LogtoDefaults.AuthenticationScheme。 - 將 cookie 和 OpenID Connect 驗證處理程序新增至驗證機制。
登入和登出流程
在繼續之前,我們需要澄清 .NET Core 驗證中介軟體中的兩個容易混淆的術語:
- CallbackPath:使用者登入後,Logto 將使用者重定向回的 URI(在 Logto 中稱為「重定向 URI」)
- RedirectUri:在 Logto 驗證中介軟體中完成必要操作後將被重定向的 URI。
登入流程可以如下圖所示:
類似地,.NET Core 也有 SignedOutCallbackPath 和 RedirectUri 用於登出流程。
為了清晰起見,我們將它們稱為:
| 我們使用的術語 | .NET Core 術語 |
|---|---|
| Logto 重定向 URI | CallbackPath |
| Logto 登出後重定向 URI | SignedOutCallbackPath |
| 應用程式重定向 URI | RedirectUri |
關於基於重導的登入
- 此驗證流程遵循 OpenID Connect (OIDC) 協議,Logto 強制執行嚴格的安全措施以保護使用者登入。
- 如果你有多個應用程式,可以使用相同的身分提供者 (IdP, Identity provider)(Logto)。一旦使用者登入其中一個應用程式,Logto 將在使用者訪問另一個應用程式時自動完成登入流程。
欲了解更多關於基於重導登入的原理和優勢,請參閱 Logto 登入體驗解析。
配置重定向 URI
在以下的程式碼片段中,我們假設你的應用程式運行在 http://localhost:3000/。
首先,讓我們配置 Logto 重定向 URI。將以下 URI 新增到 Logto 應用程式詳細資訊頁面的「Redirect URIs」列表中:
http://localhost:3000/Callback
要配置 Logto 登出後重定向 URI,請將以下 URI 新增到 Logto 應用程式詳細資訊頁面的「Post sign-out redirect URIs」列表中:
http://localhost:3000/SignedOutCallback
更改預設路徑
Logto 重定向 URI 的預設路徑是 /Callback,而 Logto 登出後重定向 URI 的預設路徑是 /SignedOutCallback。
如果沒有特殊需求,你可以保持不變。如果想更改,可以為 LogtoOptions 設定 CallbackPath 和 SignedOutCallbackPath 屬性:
builder.Services.AddLogtoAuthentication(options =>
{
// 其他配置...
options.CallbackPath = "/Foo";
options.SignedOutCallbackPath = "/Bar";
});
記得在 Logto 應用程式詳細資訊頁面中相應更新值。
實作登入和登出按鈕
首先,將動作方法新增到你的 Controller,例如:
public class HomeController : Controller
{
public IActionResult SignIn()
{
// 這將會將使用者重定向到 Logto 登入頁面。
return Challenge(new AuthenticationProperties { RedirectUri = "/" });
}
// 使用 `new` 關鍵字以避免與 `ControllerBase.SignOut` 方法衝突
new public IActionResult SignOut()
{
// 這將會清除驗證 cookie 並將使用者重定向到 Logto 登出頁面
// 以清除 Logto 會話。
return SignOut(new AuthenticationProperties { RedirectUri = "/" });
}
}
然後,將連結新增到你的 View:
<p>是否已驗證 (Is authenticated): @User.Identity?.IsAuthenticated</p>
@if (User.Identity?.IsAuthenticated == true) {
<a asp-controller="Home" asp-action="SignOut">登出</a>
} else {
<a asp-controller="Home" asp-action="SignIn">登入</a>
}
如果使用者未經驗證,將顯示「登入」連結;如果使用者已驗證,將顯示「登出」連結。
檢查點:測試你的應用程式
現在,你可以測試你的應用程式:
- 執行你的應用程式,你會看到登入按鈕。
- 點擊登入按鈕,SDK 會初始化登入流程並將你重定向到 Logto 登入頁面。
- 登入後,你將被重定向回應用程式並看到登出按鈕。
- 點擊登出按鈕以清除權杖存儲並登出。
獲取使用者資訊
顯示使用者資訊
要確認使用者是否已驗證 (Authentication),可以檢查 User.Identity?.IsAuthenticated 屬性。
要取得使用者的宣告 (Claims),可以使用 User.Claims 屬性:
var claims = User.Claims;
// 取得使用者 ID
var userId = claims.FirstOrDefault(c => c.Type == LogtoParameters.Claims.Subject)?.Value;
請參閱 LogtoParameters.Claims 以了解宣告名稱及其意義。
請求額外的宣告 (Claims)
你可能會發現從 User.Claims 返回的物件中缺少一些使用者資訊。這是因為 OAuth 2.0 和 OpenID Connect (OIDC) 的設計遵循最小權限原則 (PoLP, Principle of Least Privilege),而 Logto 是基於這些標準構建的。
預設情況下,僅返回有限的宣告 (Claims)。如果你需要更多資訊,可以請求額外的權限範圍 (Scopes) 以存取更多宣告。
「宣告 (Claim)」是對主體所做的斷言;「權限範圍 (Scope)」是一組宣告。在目前的情況下,宣告是關於使用者的一部分資訊。
以下是權限範圍與宣告關係的非規範性範例:
「sub」宣告表示「主體 (Subject)」,即使用者的唯一識別符(例如使用者 ID)。
Logto SDK 將始終請求三個權限範圍:openid、profile 和 offline_access。
要請求額外的權限範圍 (Scopes),可以在 options 物件中配置 Scopes 屬性:
builder.Services.AddLogtoAuthentication(options =>
{
// ...
options.Scopes = new string[] {
LogtoParameters.Scopes.Email,
LogtoParameters.Scopes.Phone
}
});
然後你可以透過 User.Claims 存取額外的宣告:
var claims = User.Claims;
// 取得使用者電子郵件
var email = claims.FirstOrDefault(c => c.Type == LogtoParameters.Claims.Email)?.Value;
需要網路請求的宣告 (Claims)
為了避免使用者物件過於龐大,某些宣告需要透過網路請求來獲取。例如,即使在權限範圍 (Scopes) 中請求了 custom_data 宣告,它也不會包含在使用者物件中。要獲取這些宣告,可以在 options 物件中將 GetClaimsFromUserInfoEndpoint 設為 true:
builder.Services.AddLogtoAuthentication(options =>
{
// ...
options.GetClaimsFromUserInfoEndpoint = true;
});
權限範圍 (Scopes) 與宣告 (Claims)
Logto 使用 OIDC 權限範圍 (Scopes) 和宣告 (Claims) 慣例 來定義從 ID 權杖 (ID token) 和 OIDC 使用者資訊端點 (userinfo endpoint) 獲取使用者資訊的權限範圍和宣告。無論是「權限範圍 (Scope)」還是「宣告 (Claim)」,都是 OAuth 2.0 和 OpenID Connect (OIDC) 規範中的術語。
以下是支援的權限範圍 (Scopes) 及其對應的宣告 (Claims):
openid
| 宣告名稱 | 類型 | 描述 | 需要使用者資訊嗎? |
|---|---|---|---|
| sub | string | 使用者的唯一識別符 | 否 |
profile
| 宣告名稱 | 類型 | 描述 | 需要使用者資訊嗎? |
|---|---|---|---|
| name | string | 使用者的全名 | 否 |
| username | string | 使用者的用戶名 | 否 |
| picture | string | 使用者個人資料圖片的 URL。此 URL 必須指向圖像文件(例如 PNG、JPEG 或 GIF 圖像文件),而不是包含圖像的網頁。請注意,此 URL 應特別參考適合在描述使用者時顯示的個人資料照片,而不是使用者拍攝的任意照片。 | 否 |
| created_at | number | 使用者創建的時間。時間以自 Unix epoch(1970-01-01T00:00:00Z)以來的毫秒數表示。 | 否 |
| updated_at | number | 使用者資訊最後更新的時間。時間以自 Unix epoch(1970-01-01T00:00:00Z)以來的毫秒數表示。 | 否 |
其他 標準宣告 包括 family_name、given_name、middle_name、nickname、preferred_username、profile、website、gender、birthdate、zoneinfo 和 locale 也將包含在 profile 權限範圍中,無需請求使用者資訊端點。與上述宣告的不同之處在於,這些宣告僅在其值不為空時返回,而上述宣告在值為空時將返回 null。
與標準宣告不同,created_at 和 updated_at 宣告使用毫秒而非秒。
email
| 宣告名稱 | 類型 | 描述 | 需要使用者資訊嗎? |
|---|---|---|---|
string | 使用者的電子郵件地址 | 否 | |
| email_verified | boolean | 電子郵件地址是否已驗證 | 否 |
phone
| 宣告名稱 | 類型 | 描述 | 需要使用者資訊嗎? |
|---|---|---|---|
| phone_number | string | 使用者的電話號碼 | 否 |
| phone_number_verified | boolean | 電話號碼是否已驗證 | 否 |
address
請參閱 OpenID Connect Core 1.0 以獲取地址宣告的詳細資訊。
custom_data
| 宣告名稱 | 類型 | 描述 | 需要使用者資訊嗎? |
|---|---|---|---|
| custom_data | object | 使用者的自訂資料 | 是 |
identities
| 宣告名稱 | 類型 | 描述 | 需要使用者資訊嗎? |
|---|---|---|---|
| identities | object | 使用者的連結身分 | 是 |
| sso_identities | array | 使用者的連結 SSO 身分 | 是 |
roles
| 宣告名稱 | 類型 | 描述 | 需要使用者資訊嗎? |
|---|---|---|---|
| roles | string[] | 使用者的角色 | 否 |
urn:logto:scope:organizations
| 宣告名稱 | 類型 | 描述 | 需要使用者資訊嗎? |
|---|---|---|---|
| organizations | string[] | 使用者所屬的組織 ID | 否 |
| organization_data | object[] | 使用者所屬的組織資料 | 是 |
urn:logto:scope:organization_roles
| 宣告名稱 | 類型 | 描述 | 需要使用者資訊嗎? |
|---|---|---|---|
| organization_roles | string[] | 使用者所屬的組織角色,格式為 <organization_id>:<role_name> | 否 |
考慮到效能和資料大小,如果「需要使用者資訊嗎?」為「是」,則表示該宣告不會顯示在 ID 權杖中,而會在 使用者資訊端點 回應中返回。
API 資源
我們建議先閱讀 🔐 角色型存取控制 (RBAC, Role-Based Access Control),以瞭解 Logto RBAC 的基本概念以及如何正確設定 API 資源。
在應用程式中配置 API 資源
一旦你設定了 API 資源,就可以在應用程式中配置 Logto 時新增它們:
builder.Services.AddLogtoAuthentication(options =>
{
// ...
options.Resource = "https://<your-api-resource-indicator>";
});
每個 API 資源都有其自身的權限(權限範圍)。
例如,https://shopping.your-app.com/api 資源具有 shopping:read 和 shopping:write 權限,而 https://store.your-app.com/api 資源具有 store:read 和 store:write 權限。
要請求這些權限,你可以在應用程式中配置 Logto 時新增它們:
builder.Services.AddLogtoAuthentication(options =>
{
// ...
options.Resource = "https://shopping.your-app.com/api";
options.Scopes = new string[] {
"openid",
"profile",
"offline_access",
"read",
"write"
};
});
你可能會注意到權限範圍是獨立於 API 資源定義的。這是因為 OAuth 2.0 的資源標示符 (Resource Indicators) 指定請求的最終權限範圍將是所有目標服務中所有權限範圍的笛卡兒積。
請求未在 API 資源中定義的權限範圍是可以的。例如,即使 API 資源中沒有可用的 email 權限範圍,你也可以請求 email 權限範圍。不可用的權限範圍將被安全地忽略。
成功登入後,Logto 將根據使用者的角色向 API 資源發出適當的權限範圍。
獲取權杖
有時你可能需要獲取存取權杖 (Access token) 或 ID 權杖 (ID token) 以進行 API 呼叫。你可以使用 GetTokenAsync 方法來獲取這些權杖:
var accessToken = await HttpContext.GetTokenAsync(LogtoParameters.Tokens.AccessToken);
var idToken = await HttpContext.GetTokenAsync(LogtoParameters.Tokens.IdToken);
不需要擔心權杖過期,驗證中介軟體會在必要時自動重新整理權杖。
雖然驗證中介軟體會自動重新整理權杖,但由於底層 OpenID Connect 驗證處理程序的限制,使用者物件中的宣告 (Claims) 不會被更新。 這個問題可以在我們編寫自己的驗證處理程序後解決。
注意,上述的存取權杖 (Access token) 是用於 OpenID Connect 中 userinfo 端點的不透明權杖 (Opaque token),並不是 JWT 權杖。如果你已指定 API 資源 (API resource),需要使用 LogtoParameters.Tokens.AccessTokenForResource 來獲取該 API 資源的存取權杖:
var accessToken = await HttpContext.GetTokenAsync(LogtoParameters.Tokens.AccessTokenForResource);
此權杖將是一個以 API 資源為受眾 (Audience) 的 JWT 權杖。