Аутентификация файлов cookie ядра ASP.Net не является постоянной

Question

Я начал разрабатывать сайты, используя ASP.Net Core 2.2 . Я осуществляю вход / выход из системы с помощью пользовательской аутентификации cookie (не Identity).

Пожалуйста, смотрите или клонируйте репо :

git clone https://github.com/mrmowji/aspcore-custom-cookie-authentication.git .

... или прочитайте следующие фрагменты кода.

Вот код в Startup.cs:

public void ConfigureServices(IServiceCollection services) {
  ...

  services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
    .AddCookie(options => {
      options.LoginPath = new PathString("/login");
      options.ExpireTimeSpan = TimeSpan.FromDays(30);
      options.Cookie.Expiration = TimeSpan.FromDays(30);
      options.SlidingExpiration = true;
    });

  ...

public void Configure(IApplicationBuilder app, IHostingEnvironment env) {
  ...

  app.UseHttpsRedirection();
  app.UseStaticFiles();
  app.UseCookiePolicy();

  app.UseAuthentication();

  app.UseMvc(routes =>
  {
    ...

Вот код действия Login:

public async Task<IActionResult> Login(LoginViewModel userToLogin) {
  var username = "username"; // just to test
  var password = "password"; // just to test
  if (userToLogin.UserName == username && userToLogin.Password == password) {
    var claims = new List<Claim> {
      new Claim(ClaimTypes.Name, "admin"),
      new Claim(ClaimTypes.Role, "Administrator"),
    };

  var claimsIdentity = new ClaimsIdentity(
    claims, CookieAuthenticationDefaults.AuthenticationScheme);

  var authProperties = new AuthenticationProperties {
    AllowRefresh = true,
    ExpiresUtc = DateTimeOffset.UtcNow.AddDays(10),
    IsPersistent = true,
  };

  await HttpContext.SignInAsync(
    CookieAuthenticationDefaults.AuthenticationScheme,
    new ClaimsPrincipal(claimsIdentity),
    authProperties);

    ...

Файлы cookie установлены в соответствии с ожиданиями. У меня есть .AspNetCore.Cookies cookie с датой истечения 10 дней спустя. Но примерно через 30 минут пользователь вышел из системы. Как заставить аутентифицированного пользователя оставаться в системе даже после закрытия браузера?

Answer 1

Благодаря @ LeonardoSeccia Я мог найти ответ.Пожалуйста, прочитайте комментарии к основному вопросу.

Мне просто нужно добавить защита данных сервис внутри ConfigureServices метода и предоставить способ хранения / сохранения ключей (которые используются для шифрования/ дешифровать конфиденциальные данные) где-либо, иначе при перезапуске сервера или пула приложений будут генерироваться новые ключи, а старые зашифрованные данные (включая файлы cookie аутентификации) не будут расшифровываться так, как они должны, что приводит к неудачной аутентификации.Это необходимо, если вы развертываете на общем хосте, как я.

Если вы ранее использовали ASP.Net из .Net Framework, эта концепция защиты данных как-то эквивалентна MachineKey.

Я решил использовать файл для хранения ключей .Вот последние изменения в Startup.cs:

public Startup(IConfiguration configuration, IHostingEnvironment environment) {
  Configuration = configuration;
  hostingEnvironment = environment;
}

private IHostingEnvironment hostingEnvironment;

public IConfiguration Configuration { get; }

// This method gets called by the runtime. Use this method to add services to the container.
public void ConfigureServices(IServiceCollection services) {
  // create a directory for keys if it doesn't exist
  // it'll be created in the root, beside the wwwroot directory
  var keysDirectoryName = "Keys";
  var keysDirectoryPath = Path.Combine(hostingEnvironment.ContentRootPath, keysDirectoryName);
  if (!Directory.Exists(keysDirectoryPath)) {
    Directory.CreateDirectory(keysDirectoryPath);
  }
  services.AddDataProtection()
    .PersistKeysToFileSystem(new DirectoryInfo(keysDirectoryPath))
    .SetApplicationName("CustomCookieAuthentication");

  services.Configure<CookiePolicyOptions>(options =>
  {
  ...

Пожалуйста, отметьте репо , если вы хотите весь исходный код.