ホーム>ASPソースコード>その他のカテゴリー
ダウンロード

AspNetCore.Authentication.Basic

使いやすく、非常に軽量な、ASP.NET Core 用の Microsoft スタイルの基本スキーム認証の実装。

GitHub で見る


.NET (コア) フレームワークのサポート

.NET Framework 4.6.1 および/または NetStandard 2.0 以降
マルチターゲット: net8.0;ネット7.0;ネット6.0;ネット5.0;ネットコアアプリ3.1;ネットコアアプリ3.0;ネット標準2.0;ネット461


インストール中

このライブラリは NuGet で公開されています。したがって、コードにカスタム変更を加えずに NuGet パッケージを使用したい場合は、プロジェクトに直接インストールできます。

以下のリンクから直接ダウンロードしてください。古いパッケージは廃止されたため、新しいパッケージをダウンロードすることを検討してください。
新しいパッケージのリンク - AspNetCore.Authentication.Basic。
古いパッケージのリンク - Mihir.AspNetCore.Authentication.Basic。

または、プロジェクトで以下のコマンドを実行します。 

PM> Install-Package AspNetCore.Authentication.Basic


使用例

サンプルは、samples ディレクトリで入手できます。

設定は非常に簡単です。このライブラリの使用を開始するには、ASP.NET Core 2.0 以降の基本的な作業知識が必要です。

このライブラリを使用して機能するには 2 つの異なる方法があります。必要に応じて、両方の方法を混合できます。
1] IBasicUserValidationServiceの実装の使用
2] Microsoft の認証ライブラリで見られるのと同じアプローチであるBasicOptions.Events (OnValidateCredentials デリゲート) を使用する

注:

  • SuppressWWWAuthenticateHeader が設定されていない場合は、オプションで Realm を設定する必要があります。

  • IBasicUserValidationService インターフェイスの実装が使用され、BasicOptions.Events.OnValidateCredentials デリゲートも設定されている場合は、このデリゲートが最初に使用されます。

基本認証を使用する場合は、運用環境で常に HTTPS (SSL 証明書) プロトコルを使用してください。

Startup.cs (ASP.NET Core 3.0 以降)

 using AspNetCore.Authentication.Basic;public class Startup{public void ConfigureServices(IServiceCollection services){// SuppressWWWAuthenticateHeader が設定されていない場合は、オプションで Realm を設定する必要があります。// IBasicUserValidationService インターフェイスの実装がオプションと同様に使用される場合.Events.OnValidateCredentials デリゲートも設定されている場合、このデリゲートが使用されますfirst.services.AddAuthentication(BasicDefaults.AuthenticationScheme)// 型パラメータのない以下の AddBasic では、options.Events.OnValidateCredentials デリゲートを設定する必要があります。//.AddBasic(options => { options.Realm = "My App"; }) ;// type パラメータを指定した以下の AddBasic は、BasicUserValidationService を依存関係コンテナに追加します。 .AddBasic<BasicUserValidationService>(options => { options.Realm = "My App"; });services.AddControllers();//// デフォルトでは、ASP.NET Core のデフォルトの意図であるすべての要求に対して認証は要求されませんbehaviour.//// したがって、すべてのリクエストの認証にチャレンジするには、以下の FallbackPolicy オプションを使用してください。//services.AddAuthorization(options =>//{// options.FallbackPolicy = new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build();//});}public void Configure(IApplicationBuilder app, IHostingEnvironment env){app.UseHttpsRedirection();// 以下のパイプライン チェーンの順序は次のとおりです。重要!app.UseRouting();app.UseAuthentication();app.UseAuthorization();app.UseEndpoints(endpoints =>{endpoints.MapControllers();});}}

Startup.cs (ASP.NET Core 2.0 以降)

 using AspNetCore.Authentication.Basic;public class Startup{public void ConfigureServices(IServiceCollection services){// SuppressWWWAuthenticateHeader が設定されていない場合は、オプションで Realm を設定する必要があります。// IBasicUserValidationService インターフェイスの実装がオプションと同様に使用される場合.Events.OnValidateCredentials デリゲートも設定されている場合、このデリゲートが使用されますfirst.services.AddAuthentication(BasicDefaults.AuthenticationScheme)// 型パラメータのない以下の AddBasic では、options.Events.OnValidateCredentials デリゲートを設定する必要があります。//.AddBasic(options => { options.Realm = "My App"; }) ;// 以下の AddBasic と type パラメーターは、BasicUserValidationService を依存関係コンテナーに追加します。 .AddBasic<BasicUserValidationService>(options => { options.Realm = "My App"; });services.AddMvc();//// デフォルトでは、ASP.NET Core のデフォルトの意図であるすべての要求に対して認証は要求されませんbehaviour.//// したがって、すべてのリクエストの認証にチャレンジするには、上記の services.AddMvc() の代わりに以下のオプションを使用してください。//services.AddMvc(options => //// options.Filters.Add(new AuthorizeFilter(new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build()));//});}public void Configure(IApplicationBuilder app, IHostingEnvironment env){app.UseAuthentication( );app.UseMvc();}}

BasicUserValidationService.cs

 AspNetCore.Authentication.Basic を使用します;パブリック クラス BasicUserValidationService : IBasicUserValidationService{プライベート読み取り専用 ILogger<BasicUserValidationService> _logger;プライベート読み取り専用 IUserRepository _userRepository;パブリック BasicUserValidationService(ILogger<BasicUserValidationService> ロガー、IUserRepository userRepository){_logger = logger;_userRepository = userRepository;}public async Task<bool> IsValidAsync(string username, string password){try{// 注: この実装は使用しないでください。これはデモ目的のみです// ここに実装を記述し、検証に応じて true または false を返します。var user = await _userRepository.GetUserByUsername(username);var isValid = user != null && user.Password == パスワード;return isValid;}catch (Exception e){_logger.LogError(e, e.Message);throw;}}}



構成 (基本オプション)

レルム

SuppressWWWAuthenticateHeader が true に設定されていない場合は、設定する必要があります。これは、認証されていないリクエストに挑戦するときに WWW-Authenticate 応答ヘッダーとともに使用されます。

WWW認証ヘッダーの抑制

デフォルト値は false です。
true に設定すると、認証されていない要求にチャレンジするときに WWW-Authenticate 応答ヘッダーは返されません。
false に設定すると、未認証のリクエストにチャレンジするときに WWW-Authenticate レスポンス ヘッダーが返されます。

IgnoreAuthenticationIfAllowAnonymous (ASP.NET Core 3.0 以降で利用可能)

デフォルト値は false です。
true に設定すると、エンドポイントのコントローラー アクションまたはメタデータに AllowAnonymous フィルターがあるかどうかをチェックし、見つかった場合はリクエストの認証を試行しません。

イベント

基本認証ミドルウェアによって発生したイベントを処理するためにアプリケーションによって提供されるオブジェクト。
アプリケーションはインターフェイスを完全に実装することも、BasicEvents のインスタンスを作成して、処理するイベントにのみデリゲートを割り当てることもできます。

  • OnValidateCredentials

    このプロパティに割り当てられたデリゲートは、資格情報を検証する直前に呼び出されます。
    認証を行うには、このプロパティにデリゲートを提供する必要があります。
    デリゲートでは、 context.Principal プロパティが割り当てられるユーザーの詳細から認証クレーム プリンシパルの構築を処理する context.ValidationSucceeded() を呼び出して context.Success() を呼び出すか、ユーザーから認証クレーム プリンシパルを構築する必要があります。詳細を確認して context.Principal プロパティに割り当て、最後に context.Success() メソッドを呼び出します。
    context.Success() メソッドを呼び出さずに context.Principal プロパティのみを設定した場合、 Success() メソッドが自動的に呼び出されます。

  • 認証成功時

    このプロパティに割り当てられたデリゲートは、認証が成功すると呼び出されます。 OnValidateCredentials デリゲートが割り当てられている場合は呼び出されません。
    応答にクレームやヘッダーなどを追加するために使用できます。

  • 認証失敗時

    このプロパティに割り当てられたデリゲートは、ライブラリ内で予期しない例外がスローされたときに呼び出されます。

  • オンハンドルチャレンジ

    このプロパティに割り当てられたデリゲートは、不正な応答を処理するときに呼び出し元にチャレンジが送り返される前に呼び出されます。
    これは、何をしようとしているのかわかっていて、カスタム実装を使用したい場合にのみ使用してください。 問題の認証スキームがリクエスト フローの一部として認証対話を処理する場合、401 チャレンジの問題に対処するようにデリゲートを設定します。 (応答ヘッダーを追加したり、ログイン ページまたは外部サインイン場所の 401 結果を 302 に変更したりするなど)。
    最後に context.Handled() を呼び出して、このチャレンジのデフォルト ロジックをスキップします。

  • オンハンドル禁止

    承認が失敗し、Forbidden 応答が返された場合、このプロパティに割り当てられたデリゲートが呼び出されます。
    これは、何をしようとしているのかわかっていて、カスタム実装を使用したい場合にのみ使用してください。
    Forbid を処理するようにデリゲートを設定します。
    最後に context.Handled() を呼び出して、デフォルトのロジックをスキップします。



追加メモ

基本認証はチャレンジされません

ASP.NET Core では、既定では、すべての要求に対して認証が要求されません。したがって、要求で必要な基本認証の詳細を渡さなくても、 BasicUserValidationServiceがヒットしなくても心配する必要はありません。これは正常な動作です。 ASP.NET Core は、コントローラー/メソッドを[Authorize]フィルター属性で装飾するか、その他の手段によって、認証を行うように具体的に指示された場合にのみ、認証にチャレンジします。

ただし、使用しているものに応じて、デフォルトですべてのリクエストに認証を要求するようにしたい場合は、 StartupクラスのConfigureServicesメソッドに以下のオプション行を追加できます。

 // ASP.NET Core 3.0 以降ではservices.AddAuthorization(options =>{options.FallbackPolicy = new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build();});// OR// ASP.NET Core 2.0 以降ではservices.AddMvc (options => {options.Filters.Add(new AuthorizeFilter(new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build()));});

MVC を使用していないが、ASP.NET Core 3.0 以降のエンドポイントを使用している場合は、以下に示すように、 StartupクラスのConfigureメソッドの下にあるエンドポイント マップにチェーン メソッド.RequireAuthorization()を追加できます。

 // ASP.NET Core 3.0 以降app.UseEndpoints(endpoints =>{endpoints.MapGet("/", async context =>{await context.Response.WriteAsync("Hello World!");}).RequireAuthorization(); / / ここに注意してください!!!!

複数の認証方式

ASP.NET Core は、このライブラリでもサポートされている複数の認証スキームの追加をサポートしています。スキーム名をパラメータとして受け取る拡張メソッドを使用するだけです。残りはすべて同じです。これはさまざまな方法で実現できます。以下は簡単な大まかな例です。

スキーム名のパラメータには任意の文字列を指定できることに注意してください。

 public void ConfigureServices(IServiceCollection services){services.AddTransient<IUserRepository, InMemoryUserRepository>();services.AddAuthentication("Scheme1").AddBasic<BasicUserValidationService>("Scheme1", options => { options.Realm = "My App"; }).AddBasic<BasicUserValidationService_2>("Scheme2", options => { options.Realm = "My App"; }).AddBasic("Scheme3", options =>
		 {
			 options.Realm = "私のアプリ";
			 options.Events = new BasicEvents{OnValidateCredentials = async (context) =>{var userRepository = context.HttpContext.RequestServices.GetRequiredService<IUserRepository>();var user = await userRepository.GetUserByUsername(context.Username);var isValid = user ! = null && user.Password == context.Password;if (isValid){context.Response.Headers.Add("ValidationCustomHeader", "From OnValidateCredentials");varclaim = new[]{new Claim("CustomClaimType", "カスタム クレーム値 - OnValidateCredentials から") };context.ValidationSucceeded(クレーム);    // クレームはオプションです}else{context.ValidationFailed();}}}});services.AddControllers();services.AddAuthorization(options =>{options.FallbackPolicy = new AuthorizationPolicyBuilder("Scheme1", "Scheme2", " Scheme3").RequireAuthenticatedUser().Build();});}



リリースノート

バージョン注意事項
8.0.0

  • net8.0サポートが追加されました

  • net8.0用のサンプルプロジェクトを追加しました

  • サンプル プロジェクトをテストするために追加された BasicSamplesClient.http ファイル

  • Readme が更新されました

7.0.0

  • net7.0サポートが追加されました

  • リクエストに Authorization ヘッダーが見つからない場合、ハンドラーの情報ログがデバッグ ログに変更される

  • パッケージの検証を追加しました

  • net7.0用のサンプルプロジェクトを追加しました

  • Readme が更新されました

  • Readme がパッケージに追加されました

6.0.1

  • net6.0サポートが追加されました

  • IgnoreAuthenticationIfAllowAnonymous が有効な場合、ハンドラーの情報ログがデバッグ ログに変更される #9

  • サンプルプロジェクトを追加しました

  • Readme が更新されました

  • ライセンスに関する著作権年が更新されました

5.1.0

  • ハンドラーの可視性がパブリックに変更されました

  • テストが追加されました

  • Readme が更新されました

  • ライセンスに関する著作権年が更新されました

5.0.0

  • Net 5.0 ターゲット フレームワークが追加されました

  • IgnoreAuthenticationIfAllowAnonymous が netcoreapp3.0 以降の BasicOptions に追加されました

3.1.1

  • 複数のスキームを使用する場合の IBasicUserValidationService 実装の解決に関する問題を修正しました

3.1.0

  • マルチターゲット フレームワークのサポートが追加されました

  • 厳密な名前キーのサポートが追加されました

  • ソースリンクのサポートが追加されました

  • オプションを構成するために SuppressWWWAuthenticateHeader が追加されました

  • オプションを構成するために追加されたイベント

2.2.0

  • ASP.NET Core の基本認証の実装



参考文献

  • RFC 7617: HTTP Basic の技術仕様

  • ASP.NET Core セキュリティ ドキュメント

  • アスプネット/セキュリティ

ライセンス

MITライセンス

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて