.NET8 Identity Register

来源:https://www.cnblogs.com/YataoFeng/p/18206455
-Advertisement-
Play Games

最近群里有個小伙伴把Dapper遷移SqlSugar幾個不能解決的問題進行一個彙總,我正好寫一篇文章來講解一下 一、sql where in傳參問題: SELECT * FROM users where id IN @ids 答: SqlSugar中應該是 var sql="SELECT * FRO ...


分享給需要幫助的人:記一次 IdentityAPI 中註冊的源碼解讀,為什麼有這篇文? 因為當我看到源碼時,發現它的邏輯竟然是固定死的。我們並不是只能按照微軟提供的源碼去做。此文內容包含:設置用戶賬戶為未驗證狀態延遲用戶創建、優缺點的說明、適用場景。


在ASP.NET 8 Identity 中註冊API的源碼如下:

routeGroup.MapPost("/register", async Task<Results<Ok, ValidationProblem>>
    ([FromBody] RegisterRequest registration, HttpContext context, [FromServices] IServiceProvider sp) =>
{
    var userManager = sp.GetRequiredService<UserManager<TUser>>();

    if (!userManager.SupportsUserEmail)
    {
        throw new NotSupportedException($"{nameof(MapIdentityApi)} requires a user store with email support.");
    }

    var userStore = sp.GetRequiredService<IUserStore<TUser>>();
    var emailStore = (IUserEmailStore<TUser>)userStore;
    var email = registration.Email;

    if (string.IsNullOrEmpty(email) || !_emailAddressAttribute.IsValid(email))
    {
        return CreateValidationProblem(IdentityResult.Failed(userManager.ErrorDescriber.InvalidEmail(email)));
    }

    var user = new TUser { EmailConfirmed = false }; // 標記為未驗證
    await userStore.SetUserNameAsync(user, email, CancellationToken.None);
    await emailStore.SetEmailAsync(user, email, CancellationToken.None);
    var result = await userManager.CreateAsync(user, registration.Password);

    if (!result.Succeeded)
    {
        return CreateValidationProblem(result);
    }

    await SendConfirmationEmailAsync(user, userManager, context, email);
    return TypedResults.Ok();
});

routeGroup.MapGet("/confirm-email", async Task<IResult>
    ([FromQuery] string userId, [FromQuery] string token, [FromServices] UserManager<TUser> userManager) =>
{
    var user = await userManager.FindByIdAsync(userId);
    if (user == null)
    {
        return TypedResults.BadRequest("Invalid user.");
    }

    var result = await userManager.ConfirmEmailAsync(user, token);
    if (!result.Succeeded)
    {
        return TypedResults.BadRequest("Email confirmation failed.");
    }

    user.EmailConfirmed = true; // 更新為已驗證
    await userManager.UpdateAsync(user);

    return TypedResults.Ok("Email confirmed successfully.");
});

會發現它在註冊的時候使用郵箱作為用戶名,配置了郵箱和密碼。但是它在發送郵箱驗證碼之前,就已經通過CreateAsync創建好了賬號。這種方式叫做設置用戶賬戶為未驗證狀態,將 EmailConfirmed 設置為 false,郵箱驗證確認後設置為true。
這種方式的缺點很明顯:

  1. 資料庫冗餘:未驗證的用戶仍然會被創建並保存在資料庫中,可能會增加垃圾數據。
  2. 風險較高:未驗證用戶在短時間內可能會嘗試惡意行為,需要額外的監控和限制措施。

優點如下:

  1. 實現簡單:直接在用戶創建時標記用戶為未驗證,邏輯簡單易於實現。
  2. 用戶體驗:用戶可以立即註冊並部分使用系統功能,驗證郵箱可以稍後進行。
  3. 安全可控:通過限制未驗證用戶的操作,可以在確保全全性的同時提供基本的用戶體驗。

更安全的方式是延遲用戶創建,代碼如下:

routeGroup.MapPost("/register", async Task<IResult>
    ([FromBody] RegisterRequest registration, HttpContext context, [FromServices] IServiceProvider sp) =>
{
    var userManager = sp.GetRequiredService<UserManager<TUser>>();

    if (!userManager.SupportsUserEmail)
    {
        throw new NotSupportedException($"{nameof(MapIdentityApi)} requires a user store with email support.");
    }

    var userStore = sp.GetRequiredService<IUserStore<TUser>>();
    var emailStore = (IUserEmailStore<TUser>)userStore;
    var email = registration.Email;

    if (string.IsNullOrEmpty(email) || !_emailAddressAttribute.IsValid(email))
    {
        return CreateValidationProblem(IdentityResult.Failed(userManager.ErrorDescriber.InvalidEmail(email)));
    }

    // 生成驗證令牌併發送確認郵件
    var verificationToken = GenerateVerificationToken();
    await SendVerificationEmailAsync(email, verificationToken, context);

    // 臨時保存註冊信息
    SaveTemporaryRegistrationInfo(registration, verificationToken);

    return TypedResults.Ok("Please confirm your email.");
});

routeGroup.MapGet("/confirm-email", async Task<IResult>
    ([FromQuery] string token, [FromServices] IServiceProvider sp) =>
{
    var registration = GetTemporaryRegistrationInfoByToken(token);

    if (registration == null)
    {
        return TypedResults.BadRequest("Invalid or expired token.");
    }

    var userManager = sp.GetRequiredService<UserManager<TUser>>();
    var user = new TUser();
    await userStore.SetUserNameAsync(user, registration.Email, CancellationToken.None);
    await emailStore.SetEmailAsync(user, registration.Email, CancellationToken.None);
    var result = await userManager.CreateAsync(user, registration.Password);

    if (!result.Succeeded)
    {
        return CreateValidationProblem(result);
    }

    return TypedResults.Ok("Email confirmed and user created.");
});

會發現它與第一個例子是相反的,它是用戶註冊後把數據保存在了臨時的記憶體中,再向郵箱發送驗證碼。通過配置郵箱的時候,用驗證碼得到用戶數據,並以此創建新的賬號。

此做法的缺點也很明顯:

  1. 實現複雜:需要額外的邏輯來保存臨時註冊信息並處理驗證令牌。
  2. 用戶體驗:用戶在註冊後需要先驗證郵箱才能完成註冊流程,可能會導致部分用戶流失。

優點如下:

  1. 避免垃圾用戶:只有當用戶驗證了郵箱後,才會正式創建用戶賬戶,減少垃圾用戶數量。
  2. 安全性高:在用戶點擊確認鏈接前,賬戶信息不會進入資料庫,降低被濫用的風險。
  3. 資源節省:避免創建大量未驗證的用戶,節省資料庫存儲和處理資源。

它們的適用場景如下:

  1. 延遲用戶創建:適用於希望最大限度減少垃圾用戶並確保用戶郵箱有效性的場景,如高安全性要求的系統。
  2. 設置用戶賬戶為未驗證狀態:適用於希望提供更流暢的用戶體驗,允許用戶在驗證郵箱前進行部分操作的場景,如社交平臺或內容網站。

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 在使用Wrapper構建條件時,經常因為需要構建的條件過多需要寫半個多小時,還容易粗心寫錯欄位,所以就想搞個可以直接自動構建QueryWrapper的工具類。 ...
  • 今天使用Thinkphp5做非同步任務傳遞where參數時遇到一個問題: 有一段如下代碼: $where['jst.supplier'] = ['exp', Db::raw('>0 or jst.is_supplier=1')]; 在使用swoole做非同步任務時需要把where參數傳遞給非同步任務處理, ...
  • 前言 市面上關於認證授權的框架已經比較豐富了,大都是關於單體應用的認證授權,在分散式架構下,使用比較多的方案是--<應用網關>,網關里集中認證,將認證通過的請求再轉發給代理的服務,這種中心化的方式並不適用於微服務,這裡討論另一種方案--<認證中心>,利用jwt去中心化的特性,減輕認證中心的壓力,有理 ...
  • EDP是一套集組織架構,許可權框架【功能許可權,操作許可權,數據訪問許可權,WebApi許可權】,自動化日誌,動態Interface,WebApi管理等基礎功能於一體的,基於.net的企業應用開發框架。通過友好的編碼方式實現數據行、列許可權的管控。 ...
  • 在小公司中,往往沒有一個前後端分離的大型團隊,去各司其職的負責構建web應用程式。面對比較簡單的需求,可能所謂團隊只有一個人,既要開發前端又要開發後端。 如果能有一項技術,能夠前後端通吃,並且具備非常高的開發效率,那就非常適合小公司的小型項目的小型甚至一人團隊來使用了。 aspdotnet就是這樣高 ...
  • 結構體 struct 是一種用戶自定義的值類型,常用於定義一些簡單(輕量)的數據結構。對於一些局部使用的數據結構,優先使用結構體,效率要高很多。 ...
  • 在很早之前,就想過開發一款抽獎軟體,卻一直沒有實際去做,最近經過一段時間的準備,終於開發出了一款基於WPF+Sqlite版的抽獎軟體,包括客戶端和管理端。本項目主要是為了熟悉WPF開發流程,僅供學習分享使用,如有不足之處,還請指正。 ...
  • 安裝nuget包 Wesky.Net.OpenTools 1.0.8或以上版本。支持.net framework 4.6以上版本,以及所有.net core以及以上版本引用。 開發一個簡單的Winform界面,用來測試使用。如需該winform的demo,可以在公眾號【Dotnet Dancer】後 ...
一周排行
    -Advertisement-
    Play Games
  • 問題 有很多應用程式在驗證JSON數據的時候用到了JSON Schema。 在微服務架構下,有時候各個微服務由於各種歷史原因,它們所生成的數據對JSON Object屬性名的大小寫規則可能並不統一,它們需要消費的JSON數據的屬性名可能需要大小寫無關。 遺憾的是,目前的JSON Schema沒有這方 ...
  • 首先下載centos07鏡像,建議使用阿裡雲推薦的地址: https://mirrors.aliyun.com/centos/7.9.2009/isos/x86_64/?spm=a2c6h.25603864.0.0.59b5f5ad5Nfr0X 其實這裡就已經出現第一個坑了 centos 07 /u ...
  • 相信很多.NETer看了標題,都會忍不住好奇,點進來看看,並且順便準備要噴作者! 這裡,首先要申明一下,作者本人也非常喜歡Linq,也在各個項目中常用Linq。 我愛Linq,Linq優雅萬歲!!!(PS:順便吐槽一下,隔壁Java從8.0版本推出的Streams API,抄了個四不像,一點都不優雅 ...
  • 在人生的重要時刻,我站在了畢業的門檻上,望著前方的道路,心中涌動著對未來的無限憧憬與些許忐忑。面前,兩條道路蜿蜒伸展:一是繼續在職場中尋求穩定,一是勇敢地走出一條屬於自己的創新之路。儘管面臨年齡和現實的挑戰,我仍舊選擇勇往直前,用技術這把鑰匙,開啟新的人生篇章。 迴首過去,我深知時間寶貴,精力有限。 ...
  • 單元測試 前言 時隔多個月,終於抽空學習了點新知識,那麼這次來記錄一下C#怎麼進行單元測試,單元測試是做什麼的。 我相信大部分剛畢業的都很疑惑單元測試是乾什麼的?在小廠實習了6個月後,我發現每天除了寫CRUD就是寫CRUD,幾乎用不到單元測試。寫完一個功能直接上手去測,當然這隻是我個人感受,僅供參考 ...
  • 一:背景 1. 講故事 最近在分析dump時,發現有程式的卡死和WeakReference有關,在以前只知道怎麼用,但不清楚底層邏輯走向是什麼樣的,藉著這個dump的契機來簡單研究下。 二:弱引用的玩法 1. 一些基礎概念 用過WeakReference的朋友都知道這裡面又可以分為弱短和弱長兩個概念 ...
  • 最近想把ET打表工具的報錯提示直接調用win系統彈窗,好讓策劃明顯的知道表格哪裡填錯數據,彈窗需要調用System.Windows.Forms庫。操作如下: 需要在 .csproj 文件中添加: <UseWindowsForms>true</UseWindowsForms> 須將目標平臺設置為 Wi ...
  • 從C#3開始,拓展方法這一特性就得到了廣泛的應用。 此功能允許你能夠使用實例方法的語法調用某個靜態方法,以下是一個獲取/創建文件的靜態方法: public static async Task<StorageFile> GetOrCreateFileAsync(this StorageFolder f ...
  • 在Windows 11下,使用WinUI2.6以上版本的ListView長這樣: 然而到了Win10上,儘管其他控制項的樣式沒有改變,但ListViewItem變成了預設樣式(初代Fluent) 最重大的問題是,Win10上的HorizontalAlignment未被設置成Stretch,可能造成嚴重 ...
  • 前言 周六在公司加班,幹完活後越顯無聊,想著下載RabbiitMQ做個小項目玩玩。然而這一下就下載了2個小時,真讓人頭痛。 簡單的講一下如何安裝吧,網上教程和踩坑文章還是很多的,我講我感覺有用的文章放在本文末尾。 安裝地址 erlang 下載 - Erlang/OTP https://www.erl ...