Protección de aplicaciones de Blazor del lado servidor de ASP.NET Core

En este artículo se explica cómo proteger las aplicaciones de Blazor del lado servidor como aplicaciones ASP.NET Core.

Las aplicaciones de Blazor del lado servidor están configuradas para la seguridad, de la misma manera que las aplicaciones ASP.NET Core. Para obtener más información, consulte los artículos disponibles en Temas de seguridad de ASP.NET Core.

El contexto de autenticación solo se establece cuando se inicia la aplicación, es decir, cuando la aplicación se conecta por primera vez a WebSocket. El contexto de la autenticación se mantiene durante la vigencia del circuito. Las aplicaciones vuelven a validar periódicamente el estado de autenticación del usuario. Actualmente, esto se realiza cada 30 minutos de forma predeterminada.

Si la aplicación debe capturar usuarios para servicios personalizados o reaccionar a las actualizaciones del usuario, consulte escenarios de seguridad adicionales del lado servidor de ASP.NET Core Blazor.

El Blazor difiere de una aplicación web representada por el servidor tradicional que realiza nuevas solicitudes HTTP con cookies en cada navegación de página. La autenticación se comprueba durante los eventos de navegación. Sin embargo, no se tienen en cuenta las cookies. Las Cookies solo se envían al realizar una solicitud HTTP a un servidor, lo cual no sucede cuando el usuario navega en una aplicación de Blazor. Durante la navegación, el estado de la autenticación del usuario se comprueba dentro del circuito de Blazor, que puede actualizar en cualquier momento en el servidor mediante la abstracción del RevalidatingAuthenticationStateProvider.

Importante

No se recomienda implementar un NavigationManager personalizado para lograr la validación de autenticación durante la navegación. Si la aplicación debe ejecutar la lógica de estado de autenticación personalizada durante la navegación, use un AuthenticationStateProvider personalizado.

Nota:

En los ejemplos de código de este artículo se adoptan tipos de referencia que admiten un valor NULL (NRT) y análisis estático de estado NULL del compilador de .NET, que se admiten en ASP.NET Core en .NET 6 o posterior. Al tener como destino ASP.NET Core 5.0 o versiones anteriores, quite la designación de tipo null (?) de los ejemplos del artículo.

Plantilla de proyectos

Cree una nueva aplicación de Blazor del lado servidor siguiendo las instrucciones de Herramienta para ASP.NET Core Blazor.

Visual Studio

Después de elegir la plantilla de aplicación del lado servidor y configurar el proyecto, seleccione la autenticación de la aplicación en Tipo de autenticación:

• Ninguno (predeterminado): no hay autenticación.
• Cuentas individuales: las cuentas de usuario se almacenan en la aplicación mediante Identity en ASP.NET Core.

Visual Studio Code

Al emitir el comando de la CLI de .NET para crear y configurar la aplicación de Blazor del lado servidor, indique el mecanismo de autenticación con la opción -au|--auth:

-au {AUTHENTICATION}

Nota:

Para obtener el comando completo, consulte Herramientas para ASP.NET Core Blazor.

En la tabla siguiente se muestran los valores de autenticación permitidos para el marcador de posición {AUTHENTICATION}.

Mecanismo de autenticación	Descripción
None (valor predeterminado)	Sin autenticación
Individual	Usuarios almacenados en la aplicación con ASP.NET Core Identity

Para más información, consulte el comando dotnet new de la guía de .NET Core.

CLI de .NET Core

Al emitir el comando de la CLI de .NET para crear y configurar la aplicación de Blazor del lado servidor, indique el mecanismo de autenticación con la opción -au|--auth:

-au {AUTHENTICATION}

Nota:

Para obtener el comando completo, consulte Herramientas para ASP.NET Core Blazor.

En la tabla siguiente se muestran los valores de autenticación permitidos para el marcador de posición {AUTHENTICATION}.

Mecanismo de autenticación	Descripción
None (valor predeterminado)	Sin autenticación
Individual	Usuarios almacenados en la aplicación con ASP.NET Core Identity

Para obtener más información:

• Consulte el comando dotnet new en la guía de .NET Core.

• Ejecute el comando de ayuda para la plantilla en un shell de comandos:

  dotnet new {PROJECT TEMPLATE} --help
  

  En el comando anterior, el marcador de posición {PROJECT TEMPLATE} es la plantilla de proyecto.

BlazorIdentityUI (cuentas individuales)

Blazor admite la generación de una interfaz de usuario completa basada en BlazorIdentity al elegir la opción de autenticación para cuentas individuales.

La plantilla de aplicación web de Blazor sirve de andamiaje para el código de Identity para una base de datos de SQL Server. La versión de la línea de comandos usa SQLite de forma predeterminada e incluye una base de datos de SQLite para Identity.

La plantilla se ocupa de lo siguiente:

• Agrega componentes IdentityRazor y lógica relacionada para tareas de autenticación rutinarias, como iniciar y cerrar usuarios.
  • Los componentes Identity también admiten funciones avanzadas Identity, como confirmación de cuenta y recuperación de contraseña y autenticación multifactor mediante una aplicación de terceros.
  • Se admiten los escenarios de representación interactiva del lado del servidor (SSR interactiva) y representación del lado del cliente (CSR).
• Agrega los paquetes y dependencias relacionados con Identity.
• Hace referencia a los paquetes de Identity en _Imports.razor.
• Crea una clase de usuario Identity personalizada (ApplicationUser).
• Crea y registra un contexto de base de datos EF Core (ApplicationDbContext).
• Configura el enrutamiento para los puntos de conexión integrados Identity.
• Incluye validación y lógica de negocios de Identity.

Para inspeccionar los componentes Identity del marco Blazor, acceda a ellos en las carpetas Pages y Shared de la carpeta Account de la plantilla de proyecto de Web App Blazor (origen de referencia).

Al elegir los modos de representación de WebAssembly interactivo o Automático interactivo, el servidor controla todas las solicitudes de autenticación y autorización, y los componentes de Identity se representan estáticamente en el servidor en el proyecto principal de Blazor Web Apps. La plantilla de proyecto incluye una clase PersistentAuthenticationStateProvider (origen de referencia) en el proyecto .Client para sincronizar el estado de autenticación del usuario entre el servidor y el explorador. La clase es una implementación personalizada de AuthenticationStateProvider. El proveedor usa la clase PersistentComponentState para representar previamente el estado de autenticación y conservarlo en la página.

BlazorIdentity depende de las instancias de DbContext no creadas por una fábrica, lo que es intencional porque DbContext es suficiente para que los componentes de Identity de la plantilla del proyecto se representen estáticamente sin admitir la interactividad.

En el proyecto principal de una aplicación web Blazor, el proveedor de estado de autenticación se denomina IdentityRevalidatingAuthenticationStateProvider (origen de referencia) (solo soluciones de interactividad de servidor) o PersistingRevalidatingAuthenticationStateProvider (origen de referencia) (Soluciones de interactividad de WebAssembly o Auto interactividad).

Para obtener una descripción de cómo se aplican los modos de representación interactiva global a los componentes que no son componentes Identity, mientras que al mismo tiempo se aplica SSR estático a los componentes Identity, consulte ASP.NET Core Blazor modos de representación.

Para obtener más información sobre cómo conservar el estado prerrepresentado, consulte Prerrepresentar componentes Razor ASP.NET Core.

Para obtener más información sobre la BlazorIdentity interfaz de usuario y orientación sobre cómo integrar inicios de sesión externos a través de sitios web sociales, consulte Novedades de la identidad en .NET 8.

Nota:

Los vínculos de la documentación al origen de referencia de .NET cargan normalmente la rama predeterminada del repositorio, que representa el desarrollo actual para la próxima versión de .NET. Para seleccionar una etiqueta de una versión específica, use la lista desplegable Cambiar ramas o etiquetas. Para obtener más información, vea Procedimientos para seleccionar una etiqueta de versión de código fuente de ASP.NET Core (dotnet/AspNetCore.Docs #26205).

Administrar el estado de autenticación en Blazor aplicaciones web

Esta sección se aplica a las Blazor aplicaciones Web que adoptan:

• Representación interactiva del lado del servidor (SSR interactivo) y CSR.
• Representación del lado cliente (CSR).

Un proveedor de estado de autenticación del lado cliente solo se usa en Blazor y no está integrado con el sistema de autenticación ASP.NET Core. Durante la representación previa, Blazor respeta los metadatos definidos en la página y usa el sistema de autenticación ASP.NET Core para determinar si el usuario está autenticado. Cuando un usuario navega de una página a otra, se usa un proveedor de autenticación del lado cliente. Cuando el usuario actualiza la página (recarga de página completa), el proveedor de estado de autenticación del lado cliente no participa en la decisión de autenticación en el servidor. Dado que el servidor no conserva el estado del usuario, se pierde ningún estado de autenticación mantenido en el lado cliente.

Para solucionar esto, el mejor enfoque es realizar la autenticación en el sistema de autenticación ASP.NET Core. El proveedor de estado de autenticación del lado cliente solo se encarga de reflejar el estado de autenticación del usuario. Los ejemplos de cómo hacerlo con proveedores de estado de autenticación se muestran mediante la plantilla de proyecto de aplicación web Blazor:

• PersistingRevalidatingAuthenticationStateProvider (origen de referencia): para Blazor aplicaciones web que adoptan la representación interactiva del lado servidor (SSR interactivo) y la representación del lado cliente (CSR). Se trata de un AuthenticationStateProvider del lado servidor que vuelve a validar la marca de seguridad para el usuario conectado cada 30 minutos, se conecta un circuito interactivo. También utiliza el servicio de estado de componente persistente para transmitir el estado de autenticación al cliente, que luego se fija durante la vida útil de CSR.

• PersistingServerAuthenticationStateProvider (origen de referencia): para Blazor aplicaciones web que solo adoptan CSR. Se trata de un AuthenticationStateProvider del lado del servidor que utiliza el servicio de estado de componente persistente para transmitir el estado de autenticación al cliente, que luego se fija durante la vida útil de CSR.

• PersistentAuthenticationStateProvider (origen de referencia): para Blazor aplicaciones web que adoptan CSR. Se trata de AuthenticationStateProvider del lado del cliente que determina el estado de autenticación del usuario buscando datos persistentes en la página cuando se representó en el servidor. Este estado de autenticación se fija durante la vigencia de CSR. Si el usuario necesita iniciar sesión o cerrar sesión, se requiere una recarga de página completa. Esto solo proporciona un nombre de usuario y un correo electrónico con fines para mostrar. No incluye tokens que se autentican en el servidor al realizar solicitudes posteriores, que se administran por separado mediante un cookie que se incluye en HttpClient solicitudes al servidor.

Nota:

Los vínculos de la documentación al origen de referencia de .NET cargan normalmente la rama predeterminada del repositorio, que representa el desarrollo actual para la próxima versión de .NET. Para seleccionar una etiqueta de una versión específica, use la lista desplegable Cambiar ramas o etiquetas. Para obtener más información, vea Procedimientos para seleccionar una etiqueta de versión de código fuente de ASP.NET Core (dotnet/AspNetCore.Docs #26205).

Notificaciones y tokens adicionales de proveedores externos

Para almacenar notificaciones adicionales de proveedores externos, consulte Conservar notificaciones y tokens adicionales en in ASP.NET Core.

Azure App Service en Linux con Identity Server

Al realizar una implementación en Azure App Service en Linux con Identity Server, especifique el emisor de forma explícita. Para más información, consulte Uso de Identity para proteger un back-end de API web para SPA.

Implementación de un elemento AuthenticationStateProvider personalizado

Si la aplicación requiere un proveedor personalizado, implemente un AuthenticationStateProvider e invalide el GetAuthenticationStateAsync.

En el siguiente ejemplo, todos los usuarios se autentican con el nombre de usuario mrfibuli.

CustomAuthStateProvider.cs:

using System.Security.Claims;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Components.Authorization;

public class CustomAuthStateProvider : AuthenticationStateProvider
{
    public override Task<AuthenticationState> GetAuthenticationStateAsync()
    {
        var identity = new ClaimsIdentity(new[]
        {
            new Claim(ClaimTypes.Name, "mrfibuli"),
        }, "Custom Authentication");

        var user = new ClaimsPrincipal(identity);

        return Task.FromResult(new AuthenticationState(user));
    }
}

El servicio CustomAuthStateProvider se registra en el archivo Program:

using Microsoft.AspNetCore.Components.Authorization;

...

builder.Services.AddScoped<AuthenticationStateProvider, CustomAuthStateProvider>();

Confirme o agregue un elemento de AuthorizeRouteView al componente Router.

En el componente Routes (Components/Routes.razor):

<Router ...>
    <Found ...>
        <AuthorizeRouteView RouteData="routeData" 
            DefaultLayout="typeof(Layout.MainLayout)" />
        ...
    </Found>
</Router>

Agregue servicios de estado de autenticación en cascada a la colección de servicios del archivo Program:

builder.Services.AddCascadingAuthenticationState();

Nota:

Al crear una aplicación de Blazor a partir de una de las plantillas de proyecto de Blazor con la autenticación habilitada, la aplicación incluye el componente AuthorizeRouteView y la llamada a AddCascadingAuthenticationState. Para obtener más información, consulte Autenticación y autorización de Blazor en ASP.NET Core con información adicional presentada en la sección Personalización de contenido no autorizado con el componente enrutador del artículo.

Una AuthorizeView muestra el nombre del usuario autenticado en cualquier componente:

<AuthorizeView>
    <Authorized>
        <p>Hello, @context.User.Identity?.Name!</p>
    </Authorized>
    <NotAuthorized>
        <p>You're not authorized.</p>
    </NotAuthorized>
</AuthorizeView>

Para obtener instrucciones sobre el uso de la AuthorizeView, consulte Autenticación y autorización de Blazor en ASP.NET Core.

Notificación sobre los cambios de estado de autenticación

Un AuthenticationStateProvider personalizado puede invocar a NotifyAuthenticationStateChanged en la clase base del AuthenticationStateProvider para notificar a los consumidores del cambio de estado de la autenticación para una nueva representación.

El ejemplo siguiente se basa en la implementación de un AuthenticationStateProvider personalizado mediante el seguimiento de las instrucciones de la sección Implementar un AuthenticationStateProvider personalizado.

La siguiente implementación del CustomAuthStateProvider expone un método personalizado, AuthenticateUser, para iniciar sesión con un usuario y notificar a los consumidores del cambio de estado de la autenticación.

CustomAuthStateProvider.cs:

using System.Security.Claims;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Components.Authorization;

public class CustomAuthStateProvider : AuthenticationStateProvider
{
    public override Task<AuthenticationState> GetAuthenticationStateAsync()
    {
        var identity = new ClaimsIdentity();
        var user = new ClaimsPrincipal(identity);

        return Task.FromResult(new AuthenticationState(user));
    }

    public void AuthenticateUser(string userIdentifier)
    {
        var identity = new ClaimsIdentity(new[]
        {
            new Claim(ClaimTypes.Name, userIdentifier),
        }, "Custom Authentication");

        var user = new ClaimsPrincipal(identity);

        NotifyAuthenticationStateChanged(
            Task.FromResult(new AuthenticationState(user)));
    }
}

En un componente:

• Insertando AuthenticationStateProvider.
• Agregue un campo para contener el identificador de usuario.
• Agregue un botón y un método para convertir a AuthenticationStateProvider en CustomAuthStateProvider y llamar a AuthenticateUser con el identificador de usuario.

@inject AuthenticationStateProvider AuthenticationStateProvider

<input @bind="userIdentifier" />
<button @onclick="SignIn">Sign in</button>

<AuthorizeView>
    <Authorized>
        <p>Hello, @context.User.Identity?.Name!</p>
    </Authorized>
    <NotAuthorized>
        <p>You're not authorized.</p>
    </NotAuthorized>
</AuthorizeView>

@code {
    public string userIdentifier = string.Empty;

    private void SignIn()
    {
        ((CustomAuthStateProvider)AuthenticationStateProvider)
            .AuthenticateUser(userIdentifier);
    }
}

El enfoque anterior se puede mejorar para desencadenar notificaciones de cambios de estado de autenticación a través de un servicio personalizado. El AuthenticationService siguiente mantiene la entidad de seguridad de notificaciones del usuario actual en un campo de respaldo (currentUser) con un evento (UserChanged) al que AuthenticationStateProvider se puede suscribir. En él, el evento invoca a NotifyAuthenticationStateChanged. Con la configuración adicional que se verá más adelante en esta sección, AuthenticationService se puede insertar en un componente con lógica que establece al CurrentUser para desencadenar el evento UserChanged.

using System.Security.Claims;

public class AuthenticationService
{
    public event Action<ClaimsPrincipal>? UserChanged;
    private ClaimsPrincipal? currentUser;

    public ClaimsPrincipal CurrentUser
    {
        get { return currentUser ?? new(); }
        set
        {
            currentUser = value;

            if (UserChanged is not null)
            {
                UserChanged(currentUser);
            }
        }
    }
}

En el archivo Program, registre el AuthenticationService en el contenedor de inserción de dependencias:

builder.Services.AddScoped<AuthenticationService>();

El siguiente CustomAuthStateProvider se suscribe al evento AuthenticationService.UserChanged. GetAuthenticationStateAsync devuelve el estado de autenticación del usuario. Inicialmente, el estado de autenticación se basa en el valor de AuthenticationService.CurrentUser. Cuando se produce un cambio en el usuario, se crea un nuevo estado de autenticación con el nuevo usuario (new AuthenticationState(newUser)) para las llamadas a GetAuthenticationStateAsync:

using System.Security.Claims;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Components.Authorization;

public class CustomAuthStateProvider : AuthenticationStateProvider
{
    private AuthenticationState authenticationState;

    public CustomAuthStateProvider(AuthenticationService service)
    {
        authenticationState = new AuthenticationState(service.CurrentUser);

        service.UserChanged += (newUser) =>
        {
            authenticationState = new AuthenticationState(newUser);

            NotifyAuthenticationStateChanged(
                Task.FromResult(new AuthenticationState(newUser)));
        };
    }

    public override Task<AuthenticationState> GetAuthenticationStateAsync() =>
        Task.FromResult(authenticationState);
}

El método de SignIn del componente siguiente crea una entidad de seguridad de notificaciones para que el identificador del usuario lo establezca en el AuthenticationService.CurrentUser:

@inject AuthenticationService AuthenticationService

<input @bind="userIdentifier" />
<button @onclick="SignIn">Sign in</button>

<AuthorizeView>
    <Authorized>
        <p>Hello, @context.User.Identity?.Name!</p>
    </Authorized>
    <NotAuthorized>
        <p>You're not authorized.</p>
    </NotAuthorized>
</AuthorizeView>

@code {
    public string userIdentifier = string.Empty;

    private void SignIn()
    {
        var currentUser = AuthenticationService.CurrentUser;

        var identity = new ClaimsIdentity(
            new[]
            {
                new Claim(ClaimTypes.Name, userIdentifier),
            },
            "Custom Authentication");

        var newUser = new ClaimsPrincipal(identity);

        AuthenticationService.CurrentUser = newUser;
    }
}

Inserción del AuthenticationStateProvider para los servicios con ámbito en un componente

No intente resolver AuthenticationStateProvider dentro de un ámbito personalizado porque dará como resultado la creación de una nueva instancia del AuthenticationStateProvider que no se inicializa correctamente.

Para acceder al AuthenticationStateProvider dentro de un servicio con ámbito en un componente, inserte al AuthenticationStateProvider con la directiva @inject o el atributo [Inject] y páselo al servicio como parámetro. Este enfoque garantiza que la instancia correcta e inicializada del AuthenticationStateProvider se use para cada instancia de aplicación de usuario.

ExampleService.cs:

public class ExampleService
{
    public async Task<string> ExampleMethod(AuthenticationStateProvider authStateProvider)
    {
        var authState = await authStateProvider.GetAuthenticationStateAsync();
        var user = authState.User;

        if (user.Identity is not null && user.Identity.IsAuthenticated)
        {
            return $"{user.Identity.Name} is authenticated.";
        }
        else
        {
            return "The user is NOT authenticated.";
        }
    }
}

Registre el servicio como uno con ámbito. En una aplicación del lado servidor de Blazor, los servicios con ámbito tienen una vigencia igual a la duración del circuito de la conexión de cliente.

En el archivo Program:

builder.Services.AddScoped<ExampleService>();

En el componente InjectAuthStateProvider siguiente:

• El componente hereda OwningComponentBase.
• El AuthenticationStateProvider se inserta y se pasa al ExampleService.ExampleMethod.
• El ExampleService se resuelve con OwningComponentBase.ScopedServices y GetRequiredService, que devuelven la instancia correcta e inicializada del ExampleService que existe durante la vigencia del circuito del usuario.

InjectAuthStateProvider.razor:

@page "/inject-auth-state-provider"
@inherits OwningComponentBase
@inject AuthenticationStateProvider AuthenticationStateProvider

<h1>Inject <code>AuthenticationStateProvider</code> Example</h1>

<p>@message</p>

@code {
    private string? message;
    private ExampleService? ExampleService { get; set; }

    protected override async Task OnInitializedAsync()
    {
        ExampleService = ScopedServices.GetRequiredService<ExampleService>();

        message = await ExampleService.ExampleMethod(AuthenticationStateProvider);
    }
}

Para más información, consulte las instrucciones de OwningComponentBase en la Inserción de dependencias de Blazor en ASP.NET Core.

Presentación de contenido no autorizado durante la representación previa con un AuthenticationStateProviderpersonalizado

Para evitar mostrar contenido no autorizado, por ejemplo contenido en un componente AuthorizeView, mientras se representa previamente con un elemento AuthenticationStateProvider personalizado, adopte uno de los enfoques siguientes:

• Implemente IHostEnvironmentAuthenticationStateProvider para el AuthenticationStateProvider personalizado para admitir la representación previa: para obtener un ejemplo de implementación de IHostEnvironmentAuthenticationStateProvider, consulte la implementación ServerAuthenticationStateProvider del marco Blazor en ServerAuthenticationStateProvider.cs (origen de referencia).

  Nota:

  Los vínculos de la documentación al origen de referencia de .NET cargan normalmente la rama predeterminada del repositorio, que representa el desarrollo actual para la próxima versión de .NET. Para seleccionar una etiqueta de una versión específica, use la lista desplegable Cambiar ramas o etiquetas. Para obtener más información, vea Procedimientos para seleccionar una etiqueta de versión de código fuente de ASP.NET Core (dotnet/AspNetCore.Docs #26205).

• Deshabilite la representación previa: indique el modo de representación con el parámetro prerender establecido en false en el componente de nivel más alto de la jerarquía de componentes de la aplicación que no sea un componente raíz.

  Nota:

  No se admite la creación de un componente raíz interactivo, como el componente App. Por lo tanto, el componente App no puede deshabilitar la representación previa directamente.

  En el caso de las aplicaciones basadas en la plantilla de proyecto de Blazor Web Apps, la representación previa se deshabilita normalmente cuando se usa el componente Routes en el componente App (Components/App.razor):

  <Routes @rendermode="new InteractiveServerRenderMode(prerender: false)" />
  

  Además, deshabilite la representación previa para el componente de HeadOutlet:

  <HeadOutlet @rendermode="new InteractiveServerRenderMode(prerender: false)" />
  

  También puede deshabilitar de forma selectiva la representación previa con un control preciso del modo de representación aplicado a la instancia del componente Routes. Para obtener más información, vea Modos de representación de ASP.NET CoreBlazor.

• Autenticar al usuario en el servidor antes de que se inicie la aplicación: para adoptar este enfoque, la aplicación debe responder a la solicitud inicial de un usuario con la página o vista de inicio de sesión basada en Identity y evitar las solicitudes a puntos de conexión Blazor hasta que se autentiquen. Para más información, consulte Creación de una aplicación ASP.NET Core con datos de usuario protegidos por autorización. Después de la autenticación, solo se muestra contenido no autorizado en componentes de Razor creados previamente cuando el usuario no está autorizado para ver el contenido.

Administración de Estados de usuario

A pesar de contener la palabra "state" (estado) en el nombre, AuthenticationStateProvider no se usa para almacenar el estado del usuario general. AuthenticationStateProvider indica únicamente el estado de autenticación del usuario a la aplicación, si ha iniciado sesión en ella y el nombre de usuario con el que ha iniciado sesión.

La autenticación usa la misma autenticación ASP.NET Core Identity que Razor Pages y las aplicaciones MVC. El estado de usuario almacenado en la Identity de ASP.NET Core se dirige a Blazor sin agregar código adicional a la aplicación. Siga las instrucciones de los artículos y tutoriales de la Identity de ASP.NET Core para que las características de Identity surtan efecto en los elementos Blazor de la aplicación.

Para obtener instrucciones sobre la administración de estado general fuera de la Identity de ASP.NET Core, consulte: Administración de estado de Blazor en ASP.NET Core.

Abstracciones de seguridad adicionales

Dos abstracciones adicionales participan en la administración del estado de autenticación:

• ServerAuthenticationStateProvider (origen de referencia): AuthenticationStateProvider que usa el marco de Blazor para obtener el estado de autenticación del servidor.

• RevalidatingServerAuthenticationStateProvider (origen de referencia): clase base para servicios de AuthenticationStateProvider usados por el marco de Blazor para recibir un estado de autenticación del entorno del host y volver a validarlo a intervalos regulares.

  El intervalo de revalidación predeterminado de 30 minutos se puede ajustar en RevalidatingIdentityAuthenticationStateProvider (Areas/Identity/RevalidatingIdentityAuthenticationStateProvider.cs). En el ejemplo siguiente se reduce el intervalo a 20 minutos:

  protected override TimeSpan RevalidationInterval => TimeSpan.FromMinutes(20);
  

Nota:

Los vínculos de la documentación al origen de referencia de .NET cargan normalmente la rama predeterminada del repositorio, que representa el desarrollo actual para la próxima versión de .NET. Para seleccionar una etiqueta de una versión específica, use la lista desplegable Cambiar ramas o etiquetas. Para obtener más información, vea Procedimientos para seleccionar una etiqueta de versión de código fuente de ASP.NET Core (dotnet/AspNetCore.Docs #26205).

Duración de la validez de la dirección URL de redireccionamiento temporal

Esta sección se aplica a Blazor Web Apps.

Use la opción RazorComponentsServiceOptions.TemporaryRedirectionUrlValidityDuration para obtener o establecer la vigencia de la validez de la protección de datos para las direcciones URL de redirección temporales emitidas por la representación del lado servidor Blazor. Solo se usan transitoriamente, por lo que la duración debe simplemente ser lo suficientemente larga como para que un cliente reciba la dirección URL y comience la navegación a ella. Sin embargo, también debe ser lo suficientemente larga como para permitir la asimetría del reloj entre servidores. El valor predeterminado es cinco minutos.

En el ejemplo siguiente, el valor se extiende a siete minutos:

builder.Services.AddRazorComponents(options => 
    options.TemporaryRedirectionUrlValidityDuration = 
        TimeSpan.FromMinutes(7));

Recursos adicionales

• Inicio rápido: Adición del inicio de sesión con Microsoft en una aplicación web de ASP.NET Core
• Inicio rápido: Protección de una API web de ASP.NET Core con la plataforma de identidad de Microsoft
• Configuración de ASP.NET Core para trabajar con servidores proxy y equilibradores de carga: incluye instrucciones para:
  • Uso de middleware de encabezados reenviados para retener la información de esquemas HTTPS en servidores proxy y redes internas.
  • Escenarios y casos de uso adicionales, incluidos la configuración manual de esquemas, los cambios en las rutas de las solicitudes para corregir el enrutamiento de las solicitudes y el reenvío de esquemas de solicitudes para Linux y proxies inversos que no sean de tipo IIS.