两个身份验证cookie

Question

让我们假设我们有一个网站，其中有：

• 管理部分
• 客户端部分
• 游客（游客）部分

显然，最后一个（访客部分）可以由所有人访问，而管理员部分 - 仅由管理员和客户端部分 - 只能由注册客户访问。 管理员和客户端有不同的模型类（相应的管理员和用户），存储在不同的数据库中，我们希望为他们每个人使用不同的身份验证Cookie。 是否可以使用ASP.NET Core Identity？

我们试图AddIdentity初始化过程中使用CookieName财产，但似乎ApplicationCookie访问那里 - 是同一个对象，因此第二个定义，简单地重写第一个：

services 
    .AddIdentity<User, UserRole>(opts => { 
     opts.Cookies.ApplicationCookie.CookieName = "Client"; 
     opts.Cookies.ApplicationCookie.LoginPath = new PathString("/login"); 
      . . . . . . 

    }); 



services 
    .AddIdentity<Admin, AdminRole>(opts => { 
     //the following lines rewrite cookie options from client's to admin's 
     opts.Cookies.ApplicationCookie.CookieName = "Admin"; 
     opts.Cookies.ApplicationCookie.LoginPath = new PathString("/admin/login"); 
      . . . . . . 
    }); 

Answer 1

可能吗？是。您需要创建自己的身份中间件来处理不同的Cookie，但可以完成。

推荐？ 否

有两个单独的安全问题：认证和授权。 Cookie可以很好地进行身份验证（某人是），但您应该使用角色和声明进行授权（某人可以做什么并且有权访问），这正是您要在此处解决的问题。

ASP.NET的Identity Framework已经对角色和声明都有很好的支持，因此您可以为每个人使用标准用户模型，为某些用户添加“管理员”角色，然后根据需要添加更具体的声明。

用于处理授权的documentation非常详细，并为您提供了很好的选项演练。两个角色和权利要求可以很容易地将它们添加到用户简档，然后使用您的控制器路线方法[属性]强制执行，如下图所示：

角色：

[Authorize(Roles = "Administrator")] 
public class AdministrationAreaController : Controller 
{ 
    public IActionResult Index() 
    { 
    } 
} 

要求：

[Authorize(Policy = "EmployeeOnly")] 
public class ClientAreaController : Controller 
{ 
    public IActionResult Index() 
    { 
    } 
}