有没有办法为同一个控制器使用两种身份验证方案？

Question

我想使用我的开放数据 (OData) 控制器从 MVC 中的第三方网格工具访问数据（使用 cookie 身份验证），并且我还想使用相同的控制器与移动 Xamarin 应用程序同步数据（使用令牌认证）。

这是我的启动文件的摘录...

            services.AddAuthentication(options =>
        {
            //options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
            //options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            //options.DefaultChallengeScheme = CookieAuthenticationDefaults.AuthenticationScheme;
        })
            .AddCookie(options => options.SlidingExpiration = true)
            .AddJwtBearer(options =>
            {
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    ValidateIssuer = false,
                    ValidateAudience = false,
                    ValidateLifetime = false,
                    RequireExpirationTime = false,
                    ValidIssuer = authOptions.Issuer,
                    ValidAudience = authOptions.Audience,
                    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(authOptions.SecureKey))
                };
            });

控制器的相关位如下所示...

 [Authorize(AuthenticationSchemes = CookieAuthenticationDefaults.AuthenticationScheme), Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]
 public class FooODataController : ODataController {...}

问题在于 cookie 和不记名令牌总是受到挑战，因此用户永远不会经过身份验证。有谁知道实现这一点的方法，以便在任一挑战成功时对用户进行身份验证？

Answer 1

这是因为有两个 [Authorize(..), Authorize(..)] 属性，而您应该有一个具有多个模式的属性：（请参阅this）

[Authorize(AuthenticationSchemes = CookieAuthenticationDefaults.AuthenticationScheme + "," + JwtBearerDefaults.AuthenticationScheme)]
public class FooODataController : ODataController