ASP.NET Core WebアプリのIdentityに関するCookieの設定について

C#, Identity

一次ソースがみつからなかったので生成AIの情報をそのままペタッと
./program.csに以下項目でidentityに関するcookieの挙動を設定ができるそうです

builder.Services.ConfigureApplicationCookie(options =>
{
    // Cookie settings
    options.Cookie.HttpOnly = true;
    options.ExpireTimeSpan = TimeSpan.FromDays(14);

    options.LoginPath = "/Account/Login";
    options.AccessDeniedPath = "/Account/AccessDenied";
    options.SlidingExpiration = false;
});

HttpOnly・・・クッキーが HTTP リクエストでのみ送信され、JavaScript からはアクセスできないようにします
補足:セキュリティ: HttpOnly フラグが設定されたクッキーは、クロスサイトスクリプティング(XSS)攻撃から保護されるため、セキュリティが向上します。JavaScript からクッキーの値を読み取ることができなくなり、クッキーに保存されている情報(例えば認証トークン)が盗まれるリスクが低くなります

ExpireTimeSpan・・・クッキーの有効期限を設定します。ここでは、クッキーが 14日後に期限切れとなります

LoginPath・・・ 認証が必要なリソースにアクセスしようとしたときに、リダイレクトされるログインページのパスを指定します

AccessDeniedPath・・・ユーザーがアクセス権のないリソースにアクセスしようとしたときにリダイレクトされるページのパスを指定します

SlidingExpiration ・・・クッキーの有効期限が、ユーザーのアクティビティがあるたびに延長されるかどうかを指定します


HttpOnlyはセキュリティの観点からtrue
SlidingExpiration もセキュリティの観点からfalse(時間がきたら強制的に切れる状態のほうが安全)
パス関係は、必要に応じてカスタムページを設定した場合は、その設定を行う必要アリだと思います
ExpireTimeSpanは、期間が短いとちょくちょくログインしなおさないといけないのでほどほどのタイミングに設定しておく必要があると思います

投稿日時: 2024-08-31 15:38:31
更新日時: 2024-09-01 05:33:01
コメント数(0)

ASP.NET Core Webアプリのユーザー名制約について

C#, Identity

ユーザー名の制約はこちら。

ユーザー名は、AllowedUserNameCharctersに設定されている文字しかつかえないです。つまり日本語はNGです。 RequireUniqueEmailは、ユーザー名とEmailの関係の設定になります false…ユーザー名は一意となる。同一メールアドレスでも異なるユーザー名が設定可能 true... デフォルトはfalseです

検証してみます
以下プログラムで、同一メールアドレスで複数のユーザー名が入るかテストしてみます

参考_同一メールアドレスで異なるユーザー名 
using Microsoft.AspNetCore.Identity;
using Microsoft.EntityFrameworkCore;

namespace SampleWeb.Data
{
    public class SeedData
    {
        public static async Task Initialize(IServiceProvider serviceProvider)
        {
            var userManager = serviceProvider.GetRequiredService<UserManager<IdentityUser>>();

            var email1 = "username@example.com";
            var user1 = new IdentityUser()
            {
                UserName = "username1",
                Email = email1,
                EmailConfirmed = true
            };
            await userManager.CreateAsync(user1, "Password@12345");

            var email2 = "username@example.com";
            var user2 = new IdentityUser()
            {
                UserName = "username2",
                Email = email2,
                EmailConfirmed = true
            };
            await userManager.CreateAsync(user2, "Password@12345");
        }
    }
}

雑なプログラムですが・・・→2つとも入ります


ユーザー名は一意として扱われ、異なるEmailであってもNGになります

参考_同一ユーザー名異なるemailで登録 
using Microsoft.AspNetCore.Identity;
using Microsoft.EntityFrameworkCore;

namespace SampleWeb.Data
{
    public class SeedData
    {
        public static async Task Initialize(IServiceProvider serviceProvider)
        {
            var userManager = serviceProvider.GetRequiredService<UserManager<IdentityUser>>();

            var email1 = "username1@example.com";
            var user1 = new IdentityUser()
            {
                UserName = "username",
                Email = email1,
                EmailConfirmed = true
            };
            await userManager.CreateAsync(user1, "Password@12345");

            var email2 = "username2@example.com";
            var user2 = new IdentityUser()
            {
                UserName = "username",
                Email = email2,
                EmailConfirmed = true
            };
            await userManager.CreateAsync(user2, "Password@12345");
        }
    }
}

これだと最初の設定しか入らない

投稿日時: 2024-08-31 13:05:31
更新日時: 2024-08-31 16:40:31
コメント数(0)

ASP.NET Core Webアプリのパスワード制約について

C#, Identity
デフォルトの条件は、6文字以上 数字、大文字、小文字、英数字以外をそれぞれ最低1文字含むことが条件

この条件を変えたい場合は、

./program.cs

using Microsoft.AspNetCore.Identity;
using Microsoft.EntityFrameworkCore;
using SampleWeb03.Data;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
var connectionString = builder.Configuration.GetConnectionString("DefaultConnection") ?? throw new InvalidOperationException("Connection string 'DefaultConnection' not found.");
builder.Services.AddDbContext<ApplicationDbContext>(options =>
    options.UseSqlite(connectionString));
builder.Services.AddDatabaseDeveloperPageExceptionFilter();

builder.Services.AddDefaultIdentity<IdentityUser>(options => options.SignIn.RequireConfirmedAccount = true)
    .AddEntityFrameworkStores<ApplicationDbContext>();
builder.Services.AddControllersWithViews();

// パスワードの条件設定
builder.Services.Configure<IdentityOptions>(options =>
{
    options.Password.RequiredLength = 10;           // 長さ

    options.Password.RequireUppercase = true;       // 大文字
    options.Password.RequireLowercase = true;       // 小文字
    options.Password.RequireDigit = true;           // 数字
    options.Password.RequireNonAlphanumeric = true; // 英数以外の文字
    options.Password.RequiredUniqueChars = 1;       // 必須項目がそれぞれ最低いくつ必要か?
});

var app = builder.Build();

// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment())
{
    app.UseMigrationsEndPoint();
}
else
{
    app.UseExceptionHandler("/Home/Error");
    // The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
    app.UseHsts();
}

app.UseHttpsRedirection();
app.UseStaticFiles();

app.UseRouting();

app.UseAuthorization();

app.MapControllerRoute(
    name: "default",
    pattern: "{controller=Home}/{action=Index}/{id?}");
app.MapRazorPages();

app.Run();

パスワードの条件設定のように、それぞれを設定する
必須な種類はすべてtrueがデフォルトなのであえて設定するまでもなく
変更するとしたら文字列の長さくらいかなと

投稿日時: 2024-08-31 11:06:31
更新日時: 2024-08-31 13:22:31
コメント数(0)

最近の投稿

最近のコメント

タグ

アーカイブ

その他