Как делается Авторизация и аутентификация на Blazor Server?

Question

[Nik Faraday]

Здравствуйте!

Начал изучать технологию Blazor Server и меня интересует вопрос об авторизации и аутентификации. Опыт на asp.net core mvc и web api есть, но меня интересуют основные вопросы авторизации:

• Что делать с jwt токеном? Как получить основную информацию о пользователе по токену? Для примера, вывести в navbar логин текущего пользователя
  
• Где хранить данные о пользователе? Коллеги используют IdentityUser (Или UserIdentity), но мне такой подход не нравится, нужно что-то более явное
  
• Можно ли хранить данные в HttpContext как объект ClaimIdentity со списком Claim, который я могу получить после декодинга jwt токена?
  

Comments

[Andrei SunnyPh]

Привет, а в чем проблема то? Не очень понимаю вопрос....Если у вас Blazor Server, то значит все происходит на сервере, то есть SSR, и тогда вполне подойдет встроенная в ASP.NET - .NET Identity, ну или собственная реализация на основе .NET Identity, с использованием JWT токенов. Если сильно напрячься, то можно сделать независимый сервер идентификации Duende Identity Server, тогда можно будет все настроить и для Blazor-Wasm. Вот в этом плейлисте кое что о защите доступа в ASP.NET, где показан проект с использованием ASP.NET MVC и WEB API.NET, но вместо MVC может быть проект на Blazor-Server.

Answer 1

[OwDafuq]

1. Сохранить, очевидно, например в LocalStorage/Cookie. Получить информацию: взять середину токена (там 3 части, разделенных запятой, а вам нужна как раз 2-ая из них), сделать на этой строке base64 decode и json deserialize, например, и будет вся информация в виде Claim'ов

2. Данные о пользователе в смысле логин/пароль и пр.? Очевидно, что в базе, а как - на ваше усмотрение, мы используем стандартные возможности EF, просто немного дописанные руками (в т.ч. фио и пр.)

3. Да, мы так тоже делаем, смотреть в сторону IMeddleware

Comments

[Nik Faraday]

На счёт 2го и 3го пунктов.

Имею ввиду, когда делается декодинг jwt, куда потом информацию закинуть? В mvc там всё хранится в httpContext, в на стороне Blazor (Server) куда это всё закидывать? Там допустимо использование HttpContext? Будет ли это ДРУГОЙ HttpContext, если при авторизации на стороне api jwt токен автоматически закидывается в HttpContext.User как объект ClaimPrincipal?

[OwDafuq]

Nik Faraday, с blazor server в этом плане не работал, он в целом какой-то кривой для этих вещей, на wasm никаких проблем не было положить банально в local storage

[Nik Faraday]

OwDafuq, localstorage есть, так хранится токен. Но токен это всего лишь токен, мне нужно куда-то закинуть информацию, что внутри него и как-то её использовать, делать logout и т.д.

[OwDafuq]

Nik Faraday, кто запрещает туда же положить?

[Nik Faraday]

OwDafuq, хороший вопрос

Так что на счёт HttpContext'а в Blazor Server? Или всё же кроме localStorage нет других вариантов? По людому они должны же быть

[OwDafuq]

Nik Faraday, А что не так с httpcontext'ом? Я же ответил на 3-ий вопрос сразу в ответе