当前位置：首页 > article >正文

ASP.NET Core标识框架Identity

article 2026/5/3 20:14:54

Authentication与Authorization

标识框架（Identity）

Identity框架的使用

初始化

自定义属性

案例一：添加用户、角色

案例二：检查登录用户信息

案例三：实现密码的重置

步骤

Authentication与Authorization

Authentication对访问者的用户身份进行验证，“用户是否登录成功”。

Authorization验证访问者的用户身份是否有对资源访问的访问权限，“用户是否有权限访问这个地址”。

标识框架（Identity）

标识（Identity）框架：采用基于角色的访问控制（Role-Based Access Control，简称RBAC）策略，内置了对用户、角色等表的管理以及相关的接口，支持外部登录、2FA等。

标识框架使用EF Core对数据库进行操作，因此标识框架支持几乎所有数据库。

Identity框架的使用

IdentityUser<TKey>、IdentityRole<TKey>，TKey代表主键的类型。我们一般编写继承自IdentityUser<TKey>、IdentityRole<TKey>等的自定义类，可以增加自定义属性。
NuGet：Microsoft.AspNetCore.Identity.EntityFrameworkCore。
创建继承自IdentityDbContext的类
可以通过IdDbContext类来操作数据库，不过框架中提供了RoleManager、UserManager等类来简化对数据库的操作。
部分方法的返回值为Task<IdentityResult>类型

初始化

初始化完执行数据库迁移操作

public class MyUser:IdentityUser<long>
{
}
public class MyRole:IdentityRole<long>
{
}
public class MyDbContext:IdentityDbContext<MyUser,MyRole,long>
{public MyDbContext(DbContextOptions<MyDbContext> options) : base(options){}
}Program.cs
//添加数据库上下文
builder.Services.AddDbContext<MyDbContext>(opt => {string connStr = Environment.GetEnvironmentVariable("ConnStr");opt.UseSqlServer(connStr);
});
//添加数据保护服务
builder.Services.AddDataProtection();
//添加身份认证服务
builder.Services.AddIdentityCore<MyUser>(options => {//设置密码规则，不需要数字，小写字母，大写字母，特殊字符，长度为6options.Password.RequireDigit = false;options.Password.RequireLowercase = false;options.Password.RequireUppercase = false;options.Password.RequireNonAlphanumeric = false;options.Password.RequiredLength = 6;//设置密码重置令牌提供程序为默认的电子邮件提供程序options.Tokens.PasswordResetTokenProvider = TokenOptions.DefaultEmailProvider;//设置电子邮件确认令牌提供程序为默认的电子邮件提供程序options.Tokens.EmailConfirmationTokenProvider = TokenOptions.DefaultEmailProvider;
});
//添加实体框架、默认令牌提供程序、角色管理器、用户管理器
var idBuilder = new IdentityBuilder(typeof(MyUser), typeof(MyRole), builder.Services);
idBuilder.AddEntityFrameworkStores<MyDbContext>().AddDefaultTokenProviders().AddRoleManager<RoleManager<MyRole>>().AddUserManager<UserManager<MyUser>>();

自定义属性

public class MyUser:IdentityUser<long>
{public string? WeChatAccout { get; set; }
}

案例一：添加用户、角色

通过RoleManager、UserManager等来进行数据操作，创建用户：小明，角色：admin，为小明添加admin角色

[Route("api/[controller]/[action]")]
[ApiController]
public class DemoContrller : ControllerBase
{private readonly UserManager<MyUser> userManager;private readonly RoleManager<MyRole> roleManager;public DemoContrller(UserManager<MyUser> userManager, RoleManager<MyRole> roleManager){this.userManager = userManager;this.roleManager = roleManager;}[HttpPost]public async Task<ActionResult<string>> Test1(){if (!await roleManager.RoleExistsAsync("admin")){var result = await roleManager.CreateAsync(new MyRole { Name = "admin" });if (!result.Succeeded){return BadRequest("角色创建失败");}}MyUser user1 = await userManager.FindByNameAsync("小明");if (user1 == null){var result = await userManager.CreateAsync(new MyUser { UserName = "小明" }, "123456");if (!result.Succeeded){return BadRequest("用户创建失败");}}if(!await userManager.IsInRoleAsync(user1, "admin")){var result = await userManager.AddToRoleAsync(user1, "admin");if (!result.Succeeded){return BadRequest("用户添加角色失败");}}return Ok("测试成功");}
}

案例二：检查登录用户信息

userManager.AccessFailedAsync记录“登录失败”，多次失败后，会被锁定一段时间，以避免账号被暴力破解，默认锁定时间5分钟，失败次数5次，，可以在Program.cs中设置options.Lockout.DefaultLockoutTimeSpan和options.Lockout.MaxFailedAccessAttempts来修改默认值

[HttpPost]
public async Task<ActionResult<string>> Test2(CheckPwdRequest req)
{string userName = req.UserName;string password = req.Password;var user = await userManager.FindByNameAsync(userName);if (user == null){return BadRequest("用户或密码错误");}//await userManager.ResetAccessFailedCountAsync(user);if (await userManager.IsLockedOutAsync(user)){DateTimeOffset lockout = (DateTimeOffset)user.LockoutEnd + new TimeSpan(8, 0, 0);return BadRequest(DateTime.Now + "用户已被锁定，解锁时间" + lockout);}if (await userManager.CheckPasswordAsync(user, password)){await userManager.ResetAccessFailedCountAsync(user);return Ok("登录成功");}else{await userManager.AccessFailedAsync(user);return BadRequest("用户或密码错误");}
}

案例三：实现密码的重置

调用GeneratePasswordResetTokenAsync方法来生成密码重置令牌，实际项目中，邮件发送一般调用邮件服务提供商的接口，这里只是简单输出到控制台，默认生成的令牌很长，我们可以在Project.cs设置options.Tokens.PasswordResetTokenProvider属性的值

步骤

生成重置Token
Token发给客户（邮件、短信等），形式：链接、验证码等。
根据Token完成密码的重置。

[HttpPost]
public async Task<ActionResult> SendResetPasswordToken(string userName)
{var user = await userManager.FindByNameAsync(userName);if (user == null){return BadRequest("用户名不存在！");}string token = await userManager.GeneratePasswordResetTokenAsync(user);Console.WriteLine($"向邮箱{user.Email}发送Token={token}");return Ok(token);
}[HttpPut]
public async Task<ActionResult> ResetPassword(string userName, string token, string newPassword)
{var user = await userManager.FindByNameAsync(userName);if (user == null){return BadRequest("用户名不存在！");}var result = await userManager.ResetPasswordAsync(user, token, newPassword);if (result.Succeeded){await userManager.ResetAccessFailedCountAsync(user);return Ok("密码重置成功");}else{await userManager.AccessFailedAsync(user);return BadRequest("密码重置失败");}
}

Authentication与Authorization

标识框架（Identity）

Identity框架的使用

初始化

自定义属性

案例一：添加用户、角色

案例二：检查登录用户信息

案例三：实现密码的重置

步骤

相关文章：