可以公开来自 `IdentityError` 类的消息吗？

var userCreationResult = await userManager.CreateAsync(newUser, password);

2回答

扬帆大鱼

许多软件质量和安全法规对此都有审计要求（没有向最终用户显示的错误消息可能包含机密信息或会使具有恶意意图的用户破坏系统或访问敏感数据），因此这是一个重要问题。如果有专门解决此问题的文档或文章，那么它就隐藏得很好。IdentityError类的两个成员可以假定的可能值被纳入框架。因此，看起来您可以确定它始终是其中之一，除非您IdentitiyError从 a 以外的任何其他地方获得了一个实例UserManager。该Code字段是从nameof错误方法分配的，关联的Description文本是从核心框架资源中读取的，因此这些将被本地化。源代码en-us 描述当前实现中的错误列表（版本 3.0.0）：默认错误并发失败密码不匹配令牌无效RecoveryCodeRedemptionFailed登录已关联无效的用户名不合规电邮重复的用户名重复电子邮件无效角色名称重复角色名称用户已有密码用户锁定未启用用户已入职用户不在角色密码太短PasswordRequiresUniqueChars密码需要非字母数字密码需要非字母数字密码要求较低密码需要大写其中大部分是静态字符串，不公开任何变量信息。以下确实披露了可变信息。这是用户先前在前八种情况下无论如何提供的数据，以及在后两种情况下服务器配置属性的值，所需的最小密码长度和有效密码中所需的最小唯一字符数：InvalidUserName：用户名InvalidEmail：电子邮件地址DuplicateUserName：用户名DuplicateEmail：电子邮件地址InvalidRoleName：角色名称DuplicateRoleName：角色名称UserAlreadyInRole：角色名称UserNotInRole：角色名称PasswordTooShort：最小密码长度PasswordRequiresUniqueChars：所需的唯一字符数如果在您的项目的限制和规范内这符合“安全”的条件，那么答案是肯定的。

0

0

0

当年话下

关于如何做的第二个问题，您可以执行以下操作以在循环错误时过滤掉重复的用户名                if (error.Code == _userManager.ErrorDescriber.DuplicateUserName(user.UserName).Code)                 {                     //Hide info to user by, e.g. redirecting to a page for a registration flow, or display an invalid login attempt for a login flow                 }

0

0

0