Esquemas de directiva en ASP.NET Core

Los esquemas de directivas de autenticación facilitan el uso de un único esquema de autenticación lógica que potencialmente utilice múltiples enfoques. Por ejemplo, un esquema de directiva podría usar la autenticación de Google para desafíos y la autenticación cookie para todo lo demás. Los esquemas de directivas de autenticación lo hacen:

  • Fácil de reenviar cualquier acción de autenticación a otro esquema.
  • Reenviar dinámicamente en función de la solicitud.

Todos los esquemas de autenticación que usan derivados AuthenticationSchemeOptions y los asociados AuthenticationHandler<TOptions>:

  • Son esquemas de directiva automáticamente en ASP.NET Core 2.1 y versiones posteriores.
  • Se pueden habilitar mediante la configuración de las opciones del esquema.
public class AuthenticationSchemeOptions
    /// <summary>
    /// If set, this specifies a default scheme that authentication handlers should 
    /// forward all authentication operations to, by default. The default forwarding 
    /// logic checks in this order:
    /// 1. The most specific ForwardAuthenticate/Challenge/Forbid/SignIn/SignOut 
    /// 2. The ForwardDefaultSelector
    /// 3. ForwardDefault
    /// The first non null result is used as the target scheme to forward to.
    /// </summary>
    public string ForwardDefault { get; set; }

    /// <summary>
    /// If set, this specifies the target scheme that this scheme should forward 
    /// AuthenticateAsync calls to. For example:
    /// Context.AuthenticateAsync("ThisScheme") => 
    ///                Context.AuthenticateAsync("ForwardAuthenticateValue");
    /// Set the target to the current scheme to disable forwarding and allow 
    /// normal processing.
    /// </summary>
    public string ForwardAuthenticate { get; set; }

    /// <summary>
    /// If set, this specifies the target scheme that this scheme should forward 
    /// ChallengeAsync calls to. For example:
    /// Context.ChallengeAsync("ThisScheme") =>
    ///                         Context.ChallengeAsync("ForwardChallengeValue");
    /// Set the target to the current scheme to disable forwarding and allow normal
    /// processing.
    /// </summary>
    public string ForwardChallenge { get; set; }

    /// <summary>
    /// If set, this specifies the target scheme that this scheme should forward 
    /// ForbidAsync calls to.For example:
    /// Context.ForbidAsync("ThisScheme") 
    ///                               => Context.ForbidAsync("ForwardForbidValue");
    /// Set the target to the current scheme to disable forwarding and allow normal 
    /// processing.
    /// </summary>
    public string ForwardForbid { get; set; }

    /// <summary>
    /// If set, this specifies the target scheme that this scheme should forward 
    /// SignInAsync calls to. For example:
    /// Context.SignInAsync("ThisScheme") => 
    ///                                Context.SignInAsync("ForwardSignInValue");
    /// Set the target to the current scheme to disable forwarding and allow normal 
    /// processing.
    /// </summary>
    public string ForwardSignIn { get; set; }

    /// <summary>
    /// If set, this specifies the target scheme that this scheme should forward 
    /// SignOutAsync calls to. For example:
    /// Context.SignOutAsync("ThisScheme") => 
    ///                              Context.SignOutAsync("ForwardSignOutValue");
    /// Set the target to the current scheme to disable forwarding and allow normal 
    /// processing.
    /// </summary>
    public string ForwardSignOut { get; set; }

    /// <summary>
    /// Used to select a default scheme for the current request that authentication
    /// handlers should forward all authentication operations to by default. The 
    /// default forwarding checks in this order:
    /// 1. The most specific ForwardAuthenticate/Challenge/Forbid/SignIn/SignOut
    /// 2. The ForwardDefaultSelector
    /// 3. ForwardDefault. 
    /// The first non null result will be used as the target scheme to forward to.
    /// </summary>
    public Func<HttpContext, string> ForwardDefaultSelector { get; set; }

JWT con varios esquemas

El método AddPolicyScheme puede definir varios esquemas de autenticación e implementar lógica para seleccionar el esquema adecuado en función de las propiedades del token (por ejemplo, emisor, notificaciones). Este enfoque permite una mayor flexibilidad dentro de una sola API.

services.AddAuthentication(options =>
	options.DefaultScheme = Consts.MY_POLICY_SCHEME;
	options.DefaultChallengeScheme = Consts.MY_POLICY_SCHEME;

.AddJwtBearer(Consts.MY_FIRST_SCHEME, options =>
	options.Authority = "https://your-authority";
	options.Audience = "https://your-audience";
	options.TokenValidationParameters = new TokenValidationParameters
		ValidateIssuer = true,
		ValidateAudience = true,
		ValidateIssuerSigningKey = true,
		ValidAudiences = Configuration.GetSection("ValidAudiences").Get<string[]>(),
		ValidIssuers = Configuration.GetSection("ValidIssuers").Get<string[]>()
.AddJwtBearer(Consts.MY_AAD_SCHEME, jwtOptions =>
	jwtOptions.Authority = Configuration["AzureAd:Authority"];
	jwtOptions.Audience = Configuration["AzureAd:Audience"]; 
.AddPolicyScheme(Consts.MY_POLICY_SCHEME, displayName: null, options =>
	options.ForwardDefaultSelector = context =>
		string authorization = context.Request.Headers[HeaderNames.Authorization];
		if (!string.IsNullOrEmpty(authorization) && authorization.StartsWith("Bearer "))
			var token = authorization.Substring("Bearer ".Length).Trim();
			var jwtHandler = new JsonWebTokenHandler();

			if(jwtHandler.CanReadToken(token)) // it's a self contained access token and not encrypted
				var issuer = jwtHandler.ReadJsonWebToken(token).Issuer; //.Equals("B2C-Authority"))
				if (issuer == Consts.MY_THIRD_PARTY_ISS) // Third party identity provider
					return Consts.MY_THIRD_PARTY_SCHEME;

				if (issuer == Consts.MY_AAD_ISS) // AAD
					return Consts.MY_AAD_SCHEME;

		// We don't know with it is
		return Consts.MY_AAD_SCHEME;


En el ejemplo siguiente se muestra un esquema de nivel superior que combina esquemas de nivel inferior. La autenticación de Google se usa para los desafíos y la autenticación cookie se usa para todo lo demás:

public void ConfigureServices(IServiceCollection services)
       .AddCookie(options => options.ForwardChallenge = "Google")
       .AddGoogle(options => { });

En el ejemplo siguiente se habilita la selección dinámica de los esquemas por solicitud. Es decir, cómo mezclar cookies y la autenticación de API:

public void ConfigureServices(IServiceCollection services)
        .AddCookie(options =>
            // For example, can foward any requests that start with /api 
            // to the api scheme.
            options.ForwardDefaultSelector = ctx => 
               ctx.Request.Path.StartsWithSegments("/api") ? "Api" : null;