大家在使用ASP.NET的时候一定都用过FormsAuthentication做登录用户的身份认证，FormsAuthentication的核心就是Cookie，ASP.NET会将用户名存储在Cookie中。

现在到了ASP.NET CORE的时代，但是ASP.NET CORE中没有FormsAuthentication这个东西，那么怎么做身份认证呢？答案是ASP.NET CORE已经为我们内置了Cookie身份认证的功能，而且使用起来非常方便，注意本文是基于ASP.NET CORE 2.0版本来阐述Cookie认证方式的。

 

1.从ASP.NET CORE OWIN框架中启用Cookie身份认证功能

---

要在ASP.NET CORE中使用Cookie身份认证，第一步就是在项目中的OWIN框架文件Startup.cs中启用Cookie身份认证中间件。

首先我们在Startup中的ConfigureServices方法中使用services.AddAuthentication注册Cookie认证服务，如下代码所示：

public void ConfigureServices(IServiceCollection services){    services.AddMvc();    //注册Cookie认证服务    services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie();}

然后在Startup中的Configure方法中使用app.UseAuthentication启用Cookie认证中间件（注意其中app.UseAuthentication和app.UseMvc的调用顺序不能反），如下代码所示：

public void Configure(IApplicationBuilder app, IHostingEnvironment env){    if (env.IsDevelopment())    {        app.UseDeveloperExceptionPage();        app.UseBrowserLink();    }    else    {        app.UseExceptionHandler("/Home/Error");    }    app.UseStaticFiles();    //注意app.UseAuthentication方法一定要放在下面的app.UseMvc方法前面，否者后面就算调用HttpContext.SignInAsync进行用户登录后，使用    //HttpContext.User还是会显示用户没有登录，并且HttpContext.User.Claims读取不到登录用户的任何信息。    //这说明Asp.Net OWIN框架中MiddleWare的调用顺序会对系统功能产生很大的影响，各个MiddleWare的调用顺序一定不能反    app.UseAuthentication();    app.UseMvc(routes =>    {        routes.MapRoute(            name: "default",            template: "{controller=Home}/{action=Index}/{id?}");    });            }

 

2.登录用户

---

在ASP.NET CORE中使用Cookie认证登录用户的方法和传统的FormsAuthentication不太一样，大致步骤如下：

• 创建Claim类型的数组，将登录用户的所有信息（比如用户名）存储在Claim类型的字符串键值对中
• 将上面创建的Claim类型的数组传入ClaimsIdentity中，用来构造一个ClaimsIdentity对象
• 将上面创建的ClaimsIdentity对象传入ClaimsPrincipal中，用来构造一个ClaimsPrincipal对象
• 调用HttpContext.SignInAsync方法，传入上面创建的ClaimsPrincipal对象，完成用户登录

所以我们可以看到整个ASP.NET CORE的Cookie认证登录流程比以前ASP.NET的FormsAuthentication还是要复杂许多，毕竟以前一个FormsAuthentication.SetAuthCookie方法就搞定了。

 

在本文的例子中我们在项目中默认的HomeController中创建了一个Acion方法Login，来实现用户登录的代码。当然这里我们实现的是最简的Cookie登录，下面代码中实际上还可以设置Cookie是否持久化、Cookie多久过期、存储登录用户信息的Cookie的名字是什么等，我们就不做过多介绍了，大家可以阅读本文最后推荐的两份官方文档了解更多。

Login方法的代码如下：

/// 
/// 该Action登录用户Wangdacui到Asp.Net Core/// 
public IActionResult Login(){    //下面的变量claims是Claim类型的数组，Claim是string类型的键值对，所以claims数组中可以存储任意个和用户有关的信息，    //不过要注意这些信息都是加密后存储在客户端浏览器cookie中的，所以最好不要存储太多特别敏感的信息，这里我们只存储了用户名到claims数组,    //表示当前登录的用户是谁    var claims = new[] { new Claim("UserName", "Wangdacui") };    var claimsIdentity = new ClaimsIdentity(    claims,    CookieAuthenticationDefaults.AuthenticationScheme);    ClaimsPrincipal user = new ClaimsPrincipal(claimsIdentity);                //HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, user).Wait();    Task.Run(async () =>    {        //登录用户，相当于ASP.NET中的FormsAuthentication.SetAuthCookie        await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, user);        //可以使用HttpContext.SignInAsync方法的重载来定义持久化cookie存储用户认证信息，例如下面的代码就定义了用户登录后60分钟内cookie都会保留在客户端计算机硬盘上，        //即便用户关闭了浏览器，60分钟内再次访问站点仍然是处于登录状态，除非调用Logout方法注销登录。        //注意其中的AllowRefresh属性，如果AllowRefresh为true，表示如果用户登录后在超过50%的ExpiresUtc时间间隔内又访问了站点，就延长用户的登录时间（其实就是延长cookie在客户端计算机硬盘上的保留时间），        //例如本例中我们下面设置了ExpiresUtc属性为60分钟后，那么当用户登录后在大于30分钟且小于60分钟内访问了站点，那么就将用户登录状态再延长到当前时间后的60分钟。但是用户在登录后的30分钟内访问站点是不会延长登录时间的，        //因为ASP.NET Core有个硬性要求，是用户在超过50%的ExpiresUtc时间间隔内又访问了站点，才延长用户的登录时间。        //如果AllowRefresh为false，表示用户登录后60分钟内不管有没有访问站点，只要60分钟到了，立马就处于非登录状态（不延长cookie在客户端计算机硬盘上的保留时间，60分钟到了客户端计算机就自动删除cookie）        /*        await HttpContext.SignInAsync(        CookieAuthenticationDefaults.AuthenticationScheme,        user, new AuthenticationProperties()        {            IsPersistent = true,            ExpiresUtc = DateTimeOffset.UtcNow.AddMinutes(60),            AllowRefresh = true        });        */    }).Wait();    return View();}

 

 

 

3.读取登录用户信息

---

那么用户登录后怎么将登录用户的信息（比如用户名）读取出来呢？我们在HomeController的Index方法中演示了如何判断当前用户是否已经登录，并且读出登录用户的用户名，Index方法的代码如下所示：

/// 
/// 该Action判断用户是否已经登录，如果已经登录，那么读取登录用户的用户名/// 
public IActionResult Index(){    //如果HttpContext.User.Identity.IsAuthenticated为true，    //或者HttpContext.User.Claims.Count()大于0表示用户已经登录    if (HttpContext.User.Identity.IsAuthenticated)    {        //这里通过 HttpContext.User.Claims 可以将我们在Login这个Action中存储到cookie中的所有        //claims键值对都读出来，比如我们刚才定义的UserName的值Wangdacui就在这里读取出来了        var userName = HttpContext.User.Claims.First().Value;    }    return View();}

 

 

4.注销用户

---

那么登录用户后怎么注销登录呢？我们在HomeController的Logout方法中演示了如何注销登录的用户，代码如下所示：

/// 
/// 该Action从Asp.Net Core中注销登录的用户/// 
public IActionResult Logout(){                //HttpContext.SignOutAsync().Wait();    Task.Run(async () =>    {        //注销登录的用户，相当于ASP.NET中的FormsAuthentication.SignOut          await HttpContext.SignOutAsync();    }).Wait();    return View();}

 

 

前面说了实际上在ASP.NET CORE的Cookie认证中还可以设置Cookie的名字、是否持久化存储等，可以参考如下两篇官方文档了解：