[ASP.NET Identity 2] Hoe custom authenticatie-cookies zetten

Ik werk aan een custom implementatie van ASP.NET Identity 2.0 die werkt met ons eigen datamodel, een ander ORM, maar ook met andere business logic. Standaard is het zo dat je inlogt, er een ApplicationCookie wordt geset, waarna de standaard AuthorizeAttribute deze herkent en je inlogt. In onze eigen implementatie wil ik deze implementatie echter flink oprekken.

De bedoeling is dat je op allerlei manieren in kunt loggen, bijvoorbeeld:

• Impersonation
• Password reset token
• Google Authenticator (two-factor)
• Username + password
• SMS (two-factor)
• Etc.

In alle gevallen moet de gebruiker ingelogd worden, maar welke acties uitgevoerd mogen worden hangt af van de manier waarop je ingelogd bent. Zo ben je met 'Password reset token' weliswaar ingelogd, maar heb je alleen permissie om je wachtwoord aan te passen. Met 'Username + password' mag je bijna alles doen, behalve de dingen waarvoor je bijvoorbeeld weer two-factor nodig hebt (SMS of Google authenticator). Om dit te bereiken wil ik in mijn custom AuthorizeAttribute kijken welke cookie er geset is, en aan de hand daarvan wel of geen permissie geven.

Het probleem is bijvoorbeeld dat er bij SMS welliswaar een 'TwoFactorCookie' wordt gezet, maar deze wordt niet herkend als valide inlogmethode. Zo is HttpContext.Current.Identity null. Alleen een ApplicationCookie resulteert in een log in.

Waar ik momenteel mee worstel:

1. Is het de bedoeling dat ik altijd ApplicationCookie gebruik om de gebruiker in te loggen en op een andere manier (bijvoorbeeld via Claims) het onderscheid maak qua inlogmethode, zodat er altijd maar één cookie is? Of is het handiger toch aparte cookies te gebruiken per inlogmethode? Zo ja, hoe zorg ik er voor dat 'XYZCookie' ook resulteert in een ingelogde gebruiker?
2. Valt samen met punt 1: is het de bedoeling dat ik custom authentication middleware schrijf voor mijn andere inlogmethodes of kan ik gewoon de standaard CookieAuthenticationMiddleware daarvoor gebruiken? Het enige dat er moet gebeuren is dat er een cookie geset wordt, en aangeduid wordt op welke manier de user is ingelogd.

[ Voor 5% gewijzigd door Avalaxy op 30-10-2014 17:21 ]

Dat is inderdaad een van de opties die ik overweeg. Maar wat is het nu dan van TwoFactorCookie en ExternalCookie? Wat doen die?

Op StackOverflow heb ik een reactie van iemand die in het Identity team werkt van microsoft. Hij schreef:

quote: http://stackoverflow.com/...om-authentication-cookies

So each instance of a CookieMiddleware basically represents one auth cookie, if you want multiple cookies, you can add more than one CookieMiddleware and to retrieve the ClaimsIdentity mapping to your cookie, you just need to call Authenticate on the AuthenticationManager passing in the AuthenticationType for the cookie you want.

Ik heb nu dus een aantal extensions gemaakt, die er bijvoorbeeld zo uitzien:



Vervolgens log ik de user in door AuthenticationManager.SignIn aan te roepen met een custom ClaimsIdentity (die dus mijn eigen authentication type mee krijgt). Echter is na het aanroepen van SignIn het resultaat van HttpContext.Current.User.Identity.AuthenticationType nog steeds ApplicationCookie. De cookie is wel gezet zoals het hoort.

Iemand enig idee wat ik mis?

Iemand?

Thanks, gedaan.

Nog nergens een reactie

Uiteindelijk maar gekozen voor de claimsmanier, maar iemand een oplossing voor dit probleem? \[ASP.NET Identity] HttpContext.Current is null