04 Identity для авторизации в ASP.NET Core

Авторизация и аутентификация — фундаментальные компоненты безопасности любого веб-приложения. В рамках серверной разработки на платформе .NET Core эти задачи решаются с помощью системы Identity, которая предоставляет стандартизированные инструменты для управления пользователями, ролями, политиками доступа и механизмами аутентификации. Данная лекция сфокусирована на глубоком понимании ролевой модели User/Admin, настройке Cookie-аутентификации через IdentityOptions и интеграции авторизации в контроллеры с использованием атрибута [Authorize].

Ролевая модель авторизации базируется на идее присвоения пользователям определённых ролей, которые определяют их права в системе. В минимальной конфигурации часто используются роли User (обычный пользователь) и Admin (администратор). Роль User предоставляет доступ к базовым функциям приложения, тогда как Admin открывает возможности для управления системой, включая редактирование данных, настройку прав других пользователей и мониторинг активности.

Для работы с ролями в ASP.NET Core Identity необходимо активировать соответствующую функциональность на этапе конфигурации сервисов. Например, в методе ConfigureServices класса Startup (или в файле Program.cs в .NET 6+) добавляется вызов AddRoles<IdentityRole>(), который интегрирует поддержку ролей в систему Identity. Без этого шага попытки создать роли или назначать их пользователям будут приводить к ошибкам.

Создание ролей может выполняться программно при инициализации приложения. Например, в методе Initialize класса SeedData проверяется существование ролей в базе данных, и если они отсутствуют, то создаются с помощью RoleManager<IdentityRole>. Код для этого выглядит следующим образом:

Назначение ролей пользователям осуществляется через UserManager<IdentityUser>. Например, после регистрации нового пользователя ему может быть автоматически присвоена роль User, а администратор через специальный интерфейс может повысить его до Admin. Важно отметить, что роли хранятся в базе данных в таблице AspNetRoles, а связь между пользователями и ролями — в AspNetUserRoles.

Ролевая модель тесно связана с политиками авторизации, которые определяют, какие действия доступны для тех или иных ролей. Например, доступ к административной панели может требовать наличия роли Admin, что проверяется на уровне контроллеров или отдельных методов.

Cookie-аутентификация — стандартный механизм для управления сессиями пользователей в ASP.NET Core. Её настройка выполняется через объект IdentityOptions, который позволяет кастомизировать параметры безопасности, время жизни куки, требования к паролям и другие аспекты.

Конфигурация начинается в методе AddIdentity (или AddDefaultIdentity) при регистрации сервисов. Например:

Рассмотрим ключевые параметры:

Password: определяет требования к сложности пароля. Например, RequireDigit обязывает использовать цифры, RequiredLength задаёт минимальную длину. Эти настройки критичны для защиты от брутфорс-атак.

SignIn: управляет условиями входа. Параметр RequireConfirmedAccount может требовать подтверждения email перед входом, что повышает безопасность.

Cookies: Настройки куки-аутентификации. ExpireTimeSpan устанавливает срок действия сессии, SlidingExpiration разрешает обновление времени жизни при активности пользователя.

Lockout: Защита от перебора паролей. MaxFailedAccessAttempts задаёт максимальное количество неудачных попыток входа перед блокировкой аккаунта.

Отдельного внимания заслуживает безопасность куки. Параметры HttpOnly, Secure и SameSite влияют на уязвимости, связанные с XSS-атаками и межсайтовой подделкой запросов (CSRF). Например, установка SameSiteMode.Strict ограничивает отправку куки только в рамках текущего домена.

Пример настройки защищённого куки:

Важно балансировать между безопасностью и удобством. Слишком строгие требования к паролям могут отпугнуть пользователей, а короткое время жизни куки — усложнить пользовательский опыт.

Атрибут [Authorize] — основной инструмент для ограничения доступа к контроллерам и методам. Без параметров он разрешает доступ только аутентифицированным пользователям. Если требуется проверка ролей, используются конструкции вида [Authorize(Roles = "Admin")].

Например, контроллер для административной панели может быть помечен атрибутом:

Для методов, которые должны быть доступны разным ролям, применяется перечисление:

Если необходимо комбинировать роли (требовать наличия всех указанных ролей), используется атрибут несколько раз:

Атрибут [AllowAnonymous] позволяет открыть доступ к отдельным методам для неаутентифицированных пользователей. Например, страница входа в системе с глобальным [Authorize] может иметь метод входа с [AllowAnonymous]:

Для сложных сценариев авторизации, где проверки выходят за рамки ролей, используются политики. Они объявляются в ConfigureServices через AddPolicy и могут включать произвольные условия. Например, политика, требующая минимального возраста пользователя:

Затем эта политика применяется через атрибут:

Настройка перенаправлений при ошибках авторизации или аутентификации — важная часть пользовательского опыта. В IdentityOptions можно указать пути для страниц входа, доступа запрещённого и выхода:

Эти пути должны быть обработаны в соответствующих контроллерах. Например, действие AccessDenied в AccountController может отображать страницу с сообщением об отсутствии прав.

Использование Identity требует соблюдения ряда правил безопасности:

Хеширование паролей: Identity автоматически хеширует пароли перед сохранением в базу. Не следует отключать эту функцию или пытаться реализовать собственный алгоритм.

Защита от CSRF: Атрибут [ValidateAntiForgeryToken] должен применяться для всех форм, изменяющих состояние системы.

Ограничение попыток входа: Настройка Lockout предотвращает брутфорс-атаки.

Обновление зависимостей: Регулярное обновление пакетов ASP.NET Core и Identity закрывает уязвимости.

Проверка работы авторизации включает:

Тестирование доступа к защищённым маршрутам без аутентификации.

Проверка прав для разных ролей.

Имитация блокировки аккаунта при превышении попыток входа.

Инструменты вроде Postman или Swagger позволяют отправлять запросы с куки для отладки.