В настоящее время я сталкиваюсь со следующей проблемой:
Я использую CORS для аутентификации через JavaScript Fetch API для моего ASP.NET-CORE 2.2 WebAPI.
Для этого я использую следующий код:
const resp = await fetch(url, {
method: 'POST',
credentials: 'include',
mode: 'cors'
});
, где url содержит ссылку на мой вызов API входа в систему.
Вход в систему выглядит следующим образом:
[HttpPost]
[Route("Login/{username}/{password}")]
[AllowAnonymous]
public async Task<IActionResult> Login(string username, string password)
{
var theUser = await userManager.FindByNameAsync(username);
if (theUser == null)
{
return BadRequest(userNotExistingMessage);
}
var result = await signInManager.PasswordSignInAsync(theUser, password, false, false);
if (result.Succeeded)
{
return Ok(loginMessage);
} else
{
return BadRequest(wrongPasswordMessage);
}
}
Startup.cs:
public void ConfigureServices(IServiceCollection services)
{
services.AddCors(options =>
{
options.AddPolicy("AllowAll", builder =>
{
builder
.AllowAnyOrigin()
.AllowAnyMethod()
.AllowAnyHeader()
.AllowCredentials();
});
});
// Authentication
services.AddAuthentication(sharedOptions =>
{
sharedOptions.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
sharedOptions.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
})
.AddCookie(
CookieAuthenticationDefaults.AuthenticationScheme,
options =>
{
options.LoginPath = "/api/account/Login";
options.Cookie.Name = "AUTHCOOKIE";
options.ExpireTimeSpan = new TimeSpan(365, 0, 0, 0);
options.Cookie.SecurePolicy = CookieSecurePolicy.SameAsRequest;
options.Cookie.SameSite = SameSiteMode.None;
});
services.Configure<CookiePolicyOptions>(options =>
{
options.CheckConsentNeeded = context => false;
options.MinimumSameSitePolicy = SameSiteMode.None;
});
// DB
services.AddDbContext<ApplicationDbContext>(options => options.UseMySql(Configuration.GetConnectionString("DefaultConnection")));
services.AddIdentity<ApplicationUser, IdentityRole>()
.AddDefaultTokenProviders()
.AddEntityFrameworkStores<ApplicationDbContext>();
// Sessions
services.AddDistributedMemoryCache();
services.AddSession(options =>
{
options.IdleTimeout = TimeSpan.FromMinutes(20);
options.Cookie.SameSite = SameSiteMode.None;
options.Cookie.SecurePolicy = CookieSecurePolicy.SameAsRequest;
options.Cookie.IsEssential = true;
});
services.AddMvc()
.AddJsonOptions(options =>
{
options.SerializerSettings.Formatting = Formatting.Indented;
}
);
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
app.UseCors("AllowAll");
// Authorization
var cookiePolicyOptions = new CookiePolicyOptions
{
Secure = CookieSecurePolicy.SameAsRequest,
MinimumSameSitePolicy = SameSiteMode.None
};
app.UseCookiePolicy(cookiePolicyOptions);
// Session
app.UseSession();
app.Use((httpContext, nextMiddleware) =>
{
httpContext.Session.SetString(SessionVariables.CID, httpContext.Session.Id);
return nextMiddleware();
});
app.UseMvc();
}
Когда я добавляю Swagger и захожу в Login, все работает нормально:
После входа пользователя с помощью PasswordSignInAsync(), HttpContext.User устанавливается и может быть доступен во время дальнейшей работы с API.
Но когда я пытаюсь получить доступ к своему API из javascript с помощью ранее показанной выборки, оказывается, что HttpContext.User не устанавливается. Вот почему я не могу получить доступ к каким-либо его свойствам, которые мне нужны.
Я пробовал несколько вещей, чтобы получить эту работу, но ничего не получалось. Это сводит меня с ума. Есть кто-нибудь, кто может помочь мне решить эту проблему?