.NET8 Identity Register

吴海彪

分享给需要帮助的人：记一次 IdentityAPI 中注册的源码解读，为什么有这篇文? 因为当我看到源码时，发现它的逻辑竟然是固定死的。我们并不是只能按照微软提供的源码去做。此文内容包含：设置用户账户为未验证状态、延迟用户创建、优缺点的说明、适用场景。
在ASP.NET 8 Identity 中注册API的源码如下：

1. routeGroup.MapPost("/register", async Task<Results<Ok, ValidationProblem>>
2.     ([FromBody] RegisterRequest registration, HttpContext context, [FromServices] IServiceProvider sp) =>
3. {
4.     var userManager = sp.GetRequiredService<UserManager<TUser>>();
6.     if (!userManager.SupportsUserEmail)
7.     {
8.         throw new NotSupportedException($"{nameof(MapIdentityApi)} requires a user store with email support.");
9.     }
11.     var userStore = sp.GetRequiredService<IUserStore<TUser>>();
12.     var emailStore = (IUserEmailStore<TUser>)userStore;
13.     var email = registration.Email;
15.     if (string.IsNullOrEmpty(email) || !_emailAddressAttribute.IsValid(email))
16.     {
17.         return CreateValidationProblem(IdentityResult.Failed(userManager.ErrorDescriber.InvalidEmail(email)));
18.     }
20.     var user = new TUser { EmailConfirmed = false }; // 标记为未验证
21.     await userStore.SetUserNameAsync(user, email, CancellationToken.None);
22.     await emailStore.SetEmailAsync(user, email, CancellationToken.None);
23.     var result = await userManager.CreateAsync(user, registration.Password);
25.     if (!result.Succeeded)
26.     {
27.         return CreateValidationProblem(result);
28.     }
30.     await SendConfirmationEmailAsync(user, userManager, context, email);
31.     return TypedResults.Ok();
32. });
34. routeGroup.MapGet("/confirm-email", async Task<IResult>
35.     ([FromQuery] string userId, [FromQuery] string token, [FromServices] UserManager<TUser> userManager) =>
36. {
37.     var user = await userManager.FindByIdAsync(userId);
38.     if (user == null)
39.     {
40.         return TypedResults.BadRequest("Invalid user.");
41.     }
43.     var result = await userManager.ConfirmEmailAsync(user, token);
44.     if (!result.Succeeded)
45.     {
46.         return TypedResults.BadRequest("Email confirmation failed.");
47.     }
49.     user.EmailConfirmed = true; // 更新为已验证
50.     await userManager.UpdateAsync(user);
52.     return TypedResults.Ok("Email confirmed successfully.");
53. });

复制代码

会发现它在注册的时候使用邮箱作为用户名，配置了邮箱和密码。但是它在发送邮箱验证码之前，就已经通过CreateAsync创建好了账号。这种方式叫做设置用户账户为未验证状态，将 EmailConfirmed 设置为 false，邮箱验证确认后设置为true。
这种方式的缺点很明显：

• 数据库冗余：未验证的用户仍然会被创建并保存在数据库中，可能会增加垃圾数据。
  
• 风险较高：未验证用户在短时间内可能会尝试恶意行为，需要额外的监控和限制措施。
  

优点如下：

• 实现简单：直接在用户创建时标记用户为未验证，逻辑简单易于实现。
  
• 用户体验：用户可以立即注册并部分使用系统功能，验证邮箱可以稍后进行。
  
• 安全可控：通过限制未验证用户的操作，可以在确保安全性的同时提供基本的用户体验。
  

更安全的方式是延迟用户创建，代码如下：

1. routeGroup.MapPost("/register", async Task<IResult>
2.     ([FromBody] RegisterRequest registration, HttpContext context, [FromServices] IServiceProvider sp) =>
3. {
4.     var userManager = sp.GetRequiredService<UserManager<TUser>>();
6.     if (!userManager.SupportsUserEmail)
7.     {
8.         throw new NotSupportedException($"{nameof(MapIdentityApi)} requires a user store with email support.");
9.     }
11.     var userStore = sp.GetRequiredService<IUserStore<TUser>>();
12.     var emailStore = (IUserEmailStore<TUser>)userStore;
13.     var email = registration.Email;
15.     if (string.IsNullOrEmpty(email) || !_emailAddressAttribute.IsValid(email))
16.     {
17.         return CreateValidationProblem(IdentityResult.Failed(userManager.ErrorDescriber.InvalidEmail(email)));
18.     }
20.     // 生成验证令牌并发送确认邮件
21.     var verificationToken = GenerateVerificationToken();
22.     await SendVerificationEmailAsync(email, verificationToken, context);
24.     // 临时保存注册信息
25.     SaveTemporaryRegistrationInfo(registration, verificationToken);
27.     return TypedResults.Ok("Please confirm your email.");
28. });
30. routeGroup.MapGet("/confirm-email", async Task<IResult>
31.     ([FromQuery] string token, [FromServices] IServiceProvider sp) =>
32. {
33.     var registration = GetTemporaryRegistrationInfoByToken(token);
35.     if (registration == null)
36.     {
37.         return TypedResults.BadRequest("Invalid or expired token.");
38.     }
40.     var userManager = sp.GetRequiredService<UserManager<TUser>>();
41.     var user = new TUser();
42.     await userStore.SetUserNameAsync(user, registration.Email, CancellationToken.None);
43.     await emailStore.SetEmailAsync(user, registration.Email, CancellationToken.None);
44.     var result = await userManager.CreateAsync(user, registration.Password);
46.     if (!result.Succeeded)
47.     {
48.         return CreateValidationProblem(result);
49.     }
51.     return TypedResults.Ok("Email confirmed and user created.");
52. });

复制代码

会发现它与第一个例子是相反的，它是用户注册后把数据保存在了临时的内存中，再向邮箱发送验证码。通过配置邮箱的时候，用验证码得到用户数据，并以此创建新的账号。
此做法的缺点也很明显：

• 实现复杂：需要额外的逻辑来保存临时注册信息并处理验证令牌。
  
• 用户体验：用户在注册后需要先验证邮箱才能完成注册流程，可能会导致部分用户流失。
  

优点如下：

• 避免垃圾用户：只有当用户验证了邮箱后，才会正式创建用户账户，减少垃圾用户数量。
  
• 安全性高：在用户点击确认链接前，账户信息不会进入数据库，降低被滥用的风险。
  
• 资源节省：避免创建大量未验证的用户，节省数据库存储和处理资源。
  

它们的适用场景如下：

• 延迟用户创建：适用于希望最大限度减少垃圾用户并确保用户邮箱有效性的场景，如高安全性要求的系统。
  
• 设置用户账户为未验证状态：适用于希望提供更流畅的用户体验，允许用户在验证邮箱前进行部分操作的场景，如社交平台或内容网站。
  

来源:https://www.cnblogs.com/YataoFeng/p/18206455
免责声明：由于采集信息均来自互联网，如果侵犯了您的权益，请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容，谢谢合作！