問題タブ [asp.net-authentication]

この記事で説明されているように、ASP.NET Identity を使用せずに ASP.NET Core 1.0 で Cookie ミドルウェアを使用しています: https://docs.asp.net/en/latest/security/authentication/cookie.html

ユーザーが自分のプロファイルに特定の変更を加えた場合、Cookie のいくつかの値を変更する必要があります。このようなシナリオでは、この記事では次のように指示されています

context.ReplacePrincipal() を呼び出し、context.ShouldRenew フラグを true に設定します。

どうすれば正確にそれを行うことができますか？この記事は HttpContext について言及していると思います。HttpContext の下に ReplacePrincipal() メソッドが表示されません。

これについて少し助けていただければ幸いです。ありがとう。

これを使用して、新しく作成したユーザーを役割に追加しています。

私のソリューションでは、ユーザー名 = メールです。

ユーザー名/電子メールに記号 (+、-、​​またはそのようなもの) が含まれていると、ユーザーがロールに追加されないことがわかりました。私が得るエラーは " User name x is invalid, can only contain letters or digits."です。ユーザーは正常に追加されます。失敗するのは AddToRole だけです。

しかし、私はその理由を理解できません。

AllowOnlyAlphanumericUserNamesIdentityConfig.cs で false に設定されている

何か案は？

http://www.wiktorzychla.com/2014/11/forms-authentication-revisited-for-net.htmlの指示に基づいて「SessionAuthenticationModule」を構成しました。私のアプリケーションは .Net 3.5 にあるため、「WIF 3.5 と WIF 4.5 の間の名前空間マッピング」に基づいてライブラリ マッピングを変更しました。実行すると、以下に示す例外がスローされます。"

主な構成設定を以下に示します。

構成に何か問題がありますか? 私を助けてください。

ASP.net アプリケーションを作成しましたが、そのアプリケーションを Azure サーバーに公開したいと考えています。すべて正常に動作しますが、ビルドイン認証でユーザーを登録したい場合、彼は新しいデータベースを作成する必要があります。しかし、アプリケーションからのすべてのデータと同じデータベースのデータベースに入れたいです。

私の接続文字列 DefaultConnection は正しいです。そして、私のIdentityModelは正しく設定されていると思います。

アプリケーションをローカルで実行すると、すべて機能します。

私は何を間違っていますか？

バックエンドサーバー呼び出し用の Web API2 とクライアント側コード用の Angularjs を使用して MVC5 Web アプリケーションを構築しています。アプリケーションは Windows 認証を使用しています。Web API コントローラーの一部のメソッドでは、特定のユーザー ロールに Authorize 属性を設定しました。問題は、認証が失敗したときに、ユーザーがログインするための Windows セキュリティ ダイアログがポップアップすることです。このダイアログが表示されないようにして、特定の URL にリダイレクトするか、エラー ステータス コードとエラー メッセージを返す方法はありますか?

オンラインで検索したところ、OWIN 認証の解決策が見つかりましたが、Windows 認証は見つかりませんでした。

承認と認証はかなり新しいので、重要なステップを見逃している可能性があります...多数のリファレンス、ガイド、チュートリアルを見ているだけです。

WebApiConfig で何かをする必要があるかもしれません。

または、おそらく私の Global.asax で:

これは、Angular 2 フロントエンドを備えた .NET Framework 4.5.2 をターゲットとする ASP.Net Web API プロジェクトであり、フロントエンドで手動で何もしません。おそらくそれを行う必要がありますか? ブラウザのローカル ストレージ、セッション ストレージ、および Cookie がすべて空です。

私がアクセスしている SQL Server には、ロールと userId を返す非常に単純なユーザー ログオン メソッドがあり、これをリポジトリで呼び出します。

ログオン フロントエンドは Angular 2 で構築され、次の API メソッドへの送信時にユーザー名とパスワードを使用して HttpPost 呼び出しを行い、ID とプリンシパルを作成し、Thread と HttpContext を設定します。

そのコードをステップ実行すると、Thread.CurrentPrincipal と HttpContext.Current.User の両方が設定されていることがはっきりとわかります。

しかし、アクションを [Authorize] 属性で装飾すると、ログインしているかどうかに関係なくアクセスできなくなります。

したがって、これらのメソッドを作成し、上記のログオンプロセスの後にブラウザーの URL を介してアクセスし、ステップスルーしましたが、ユーザーが実際に設定されていないことがわかりました (クレームはすべて空などです...)。

設定後にプリンシパルにアクセスできるようにするために、どのステップが欠けていますか? WebApi の組み込みの「ユーザー」メソッド以外でアクセスするか、構成に何かを設定するか、フロントエンドで手動で何かを行う必要がありますか?

私は次のように使用しapp.UseCookieAuthenticationています（単なる例です）。

次に、ユーザーを手動で作成ClaimsPrincipalしてサインインしている場所：

したがって、生成された Cookie には、ユーザーの役割に関する情報が含まれます。

ここで質問です: そのように生成された Cookie は安全ですか? つまり、ASP.NET は何らかの方法で暗号化するため、エンド ユーザーは手動で変更できないため、たとえばサーバーはユーザーが管理者であると認識しますか? ユーザーが Cookie を変更すると、サーバーは Cookie が破損していることに気付きますか?