.NET8 Identity Register_ZenDei技術網路在線

.NET8 Identity Register

-Advertisement-

最近群里有個小伙伴把Dapper遷移SqlSugar幾個不能解決的問題進行一個彙總，我正好寫一篇文章來講解一下一、sql where in傳參問題： SELECT * FROM users where id IN @ids 答: SqlSugar中應該是 var sql="SELECT * FRO ...

分享給需要幫助的人：記一次 IdentityAPI 中註冊的源碼解讀，為什麼有這篇文? 因為當我看到源碼時，發現它的邏輯竟然是固定死的。我們並不是只能按照微軟提供的源碼去做。此文內容包含：設置用戶賬戶為未驗證狀態、延遲用戶創建、優缺點的說明、適用場景。

在ASP.NET 8 Identity 中註冊API的源碼如下：

routeGroup.MapPost("/register", async Task<Results<Ok, ValidationProblem>>
    ([FromBody] RegisterRequest registration, HttpContext context, [FromServices] IServiceProvider sp) =>
{
    var userManager = sp.GetRequiredService<UserManager<TUser>>();

    if (!userManager.SupportsUserEmail)
    {
        throw new NotSupportedException($"{nameof(MapIdentityApi)} requires a user store with email support.");
    }

    var userStore = sp.GetRequiredService<IUserStore<TUser>>();
    var emailStore = (IUserEmailStore<TUser>)userStore;
    var email = registration.Email;

    if (string.IsNullOrEmpty(email) || !_emailAddressAttribute.IsValid(email))
    {
        return CreateValidationProblem(IdentityResult.Failed(userManager.ErrorDescriber.InvalidEmail(email)));
    }

    var user = new TUser { EmailConfirmed = false }; // 標記為未驗證
    await userStore.SetUserNameAsync(user, email, CancellationToken.None);
    await emailStore.SetEmailAsync(user, email, CancellationToken.None);
    var result = await userManager.CreateAsync(user, registration.Password);

    if (!result.Succeeded)
    {
        return CreateValidationProblem(result);
    }

    await SendConfirmationEmailAsync(user, userManager, context, email);
    return TypedResults.Ok();
});

routeGroup.MapGet("/confirm-email", async Task<IResult>
    ([FromQuery] string userId, [FromQuery] string token, [FromServices] UserManager<TUser> userManager) =>
{
    var user = await userManager.FindByIdAsync(userId);
    if (user == null)
    {
        return TypedResults.BadRequest("Invalid user.");
    }

    var result = await userManager.ConfirmEmailAsync(user, token);
    if (!result.Succeeded)
    {
        return TypedResults.BadRequest("Email confirmation failed.");
    }

    user.EmailConfirmed = true; // 更新為已驗證
    await userManager.UpdateAsync(user);

    return TypedResults.Ok("Email confirmed successfully.");
});

會發現它在註冊的時候使用郵箱作為用戶名，配置了郵箱和密碼。但是它在發送郵箱驗證碼之前，就已經通過CreateAsync創建好了賬號。這種方式叫做設置用戶賬戶為未驗證狀態，將 EmailConfirmed 設置為 false，郵箱驗證確認後設置為true。
這種方式的缺點很明顯：

資料庫冗餘：未驗證的用戶仍然會被創建並保存在資料庫中，可能會增加垃圾數據。
風險較高：未驗證用戶在短時間內可能會嘗試惡意行為，需要額外的監控和限制措施。

優點如下：

實現簡單：直接在用戶創建時標記用戶為未驗證，邏輯簡單易於實現。
用戶體驗：用戶可以立即註冊並部分使用系統功能，驗證郵箱可以稍後進行。
安全可控：通過限制未驗證用戶的操作，可以在確保全全性的同時提供基本的用戶體驗。

更安全的方式是延遲用戶創建，代碼如下：

routeGroup.MapPost("/register", async Task<IResult>
    ([FromBody] RegisterRequest registration, HttpContext context, [FromServices] IServiceProvider sp) =>
{
    var userManager = sp.GetRequiredService<UserManager<TUser>>();

    if (!userManager.SupportsUserEmail)
    {
        throw new NotSupportedException($"{nameof(MapIdentityApi)} requires a user store with email support.");
    }

    var userStore = sp.GetRequiredService<IUserStore<TUser>>();
    var emailStore = (IUserEmailStore<TUser>)userStore;
    var email = registration.Email;

    if (string.IsNullOrEmpty(email) || !_emailAddressAttribute.IsValid(email))
    {
        return CreateValidationProblem(IdentityResult.Failed(userManager.ErrorDescriber.InvalidEmail(email)));
    }

    // 生成驗證令牌併發送確認郵件
    var verificationToken = GenerateVerificationToken();
    await SendVerificationEmailAsync(email, verificationToken, context);

    // 臨時保存註冊信息
    SaveTemporaryRegistrationInfo(registration, verificationToken);

    return TypedResults.Ok("Please confirm your email.");
});

routeGroup.MapGet("/confirm-email", async Task<IResult>
    ([FromQuery] string token, [FromServices] IServiceProvider sp) =>
{
    var registration = GetTemporaryRegistrationInfoByToken(token);

    if (registration == null)
    {
        return TypedResults.BadRequest("Invalid or expired token.");
    }

    var userManager = sp.GetRequiredService<UserManager<TUser>>();
    var user = new TUser();
    await userStore.SetUserNameAsync(user, registration.Email, CancellationToken.None);
    await emailStore.SetEmailAsync(user, registration.Email, CancellationToken.None);
    var result = await userManager.CreateAsync(user, registration.Password);

    if (!result.Succeeded)
    {
        return CreateValidationProblem(result);
    }

    return TypedResults.Ok("Email confirmed and user created.");
});

會發現它與第一個例子是相反的，它是用戶註冊後把數據保存在了臨時的記憶體中，再向郵箱發送驗證碼。通過配置郵箱的時候，用驗證碼得到用戶數據，並以此創建新的賬號。

此做法的缺點也很明顯：

實現複雜：需要額外的邏輯來保存臨時註冊信息並處理驗證令牌。
用戶體驗：用戶在註冊後需要先驗證郵箱才能完成註冊流程，可能會導致部分用戶流失。

優點如下：

避免垃圾用戶：只有當用戶驗證了郵箱後，才會正式創建用戶賬戶，減少垃圾用戶數量。
安全性高：在用戶點擊確認鏈接前，賬戶信息不會進入資料庫，降低被濫用的風險。
資源節省：避免創建大量未驗證的用戶，節省資料庫存儲和處理資源。

它們的適用場景如下：

延遲用戶創建：適用於希望最大限度減少垃圾用戶並確保用戶郵箱有效性的場景，如高安全性要求的系統。
設置用戶賬戶為未驗證狀態：適用於希望提供更流暢的用戶體驗，允許用戶在驗證郵箱前進行部分操作的場景，如社交平臺或內容網站。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

MyBatis-plus 自動生成條件構造器 QueryWrapper

在使用Wrapper構建條件時，經常因為需要構建的條件過多需要寫半個多小時，還容易粗心寫錯欄位，所以就想搞個可以直接自動構建QueryWrapper的工具類。 ...
thinkphp5遇到必須使用Db::raw方法而無法使用json格式傳遞Db對象

今天使用Thinkphp5做非同步任務傳遞where參數時遇到一個問題：有一段如下代碼： $where['jst.supplier'] = ['exp', Db::raw('>0 or jst.is_supplier=1')]; 在使用swoole做非同步任務時需要把where參數傳遞給非同步任務處理， ...
Master of Both —— Trie的應用

前言市面上關於認證授權的框架已經比較豐富了,大都是關於單體應用的認證授權,在分散式架構下,使用比較多的方案是--<應用網關>,網關里集中認證,將認證通過的請求再轉發給代理的服務,這種中心化的方式並不適用於微服務,這裡討論另一種方案--<認證中心>,利用jwt去中心化的特性,減輕認證中心的壓力,有理 ...
EDP .Net開發框架--組織架構

EDP是一套集組織架構，許可權框架【功能許可權，操作許可權，數據訪問許可權，WebApi許可權】，自動化日誌，動態Interface，WebApi管理等基礎功能於一體的，基於.net的企業應用開發框架。通過友好的編碼方式實現數據行、列許可權的管控。 ...
使用Blazor構建CRUD項目

在小公司中，往往沒有一個前後端分離的大型團隊，去各司其職的負責構建web應用程式。面對比較簡單的需求，可能所謂團隊只有一個人，既要開發前端又要開發後端。如果能有一項技術，能夠前後端通吃，並且具備非常高的開發效率，那就非常適合小公司的小型項目的小型甚至一人團隊來使用了。 aspdotnet就是這樣高 ...
C#.Net築基-類型系統②常見類型

結構體 struct 是一種用戶自定義的值類型，常用於定義一些簡單（輕量）的數據結構。對於一些局部使用的數據結構，優先使用結構體，效率要高很多。 ...
基於WPF+Sqlite開發抽獎軟體【內附源碼】

在很早之前，就想過開發一款抽獎軟體，卻一直沒有實際去做，最近經過一段時間的準備，終於開發出了一款基於WPF+Sqlite版的抽獎軟體，包括客戶端和管理端。本項目主要是為了熟悉WPF開發流程，僅供學習分享使用，如有不足之處，還請指正。 ...
上位機開發福利！快速掌握.NET中的Modbus通信

安裝nuget包 Wesky.Net.OpenTools 1.0.8或以上版本。支持.net framework 4.6以上版本，以及所有.net core以及以上版本引用。開發一個簡單的Winform界面，用來測試使用。如需該winform的demo，可以在公眾號【Dotnet Dancer】後 ...