asp.net授权(2)

已于 2022-12-03 10:52:51 修改
阅读量120 收藏
点赞数
分类专栏: asp.net安全相关 文章标签: asp.net 后端 .netcore .net c#
于 2022-11-28 11:22:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2203_75495530/article/details/128072842
版权

授权

若没有看过上一篇文章,请先看一下上一篇文章

基于角色的授权(RBAC)

自定义认证处理器(认证逻辑有变化)

using System.Security.Claims;
using System.Text.Encodings.Web;
using Microsoft.AspNetCore.Authentication;
using Microsoft.Extensions.Options;

namespace CustomAuthentication.AuthenticationHandlers;


//自定义选项
public class SecretAuthenticationOptions : AuthenticationSchemeOptions
{
    //自定义方案名
    public const string Scheme = "Secret";
}

//自定义角色
public static class SecretRoles
{
    //小红的朋友
    public const string XiaoHongFriend = "XiaoHongFriend";

    //小红的爱慕者
    public const string XiaoHongAdorer = "XiaoHongAdorer";
}

public class SecretAuthenticationHandler : AuthenticationHandler<SecretAuthenticationOptions>
{
    public SecretAuthenticationHandler(IOptionsMonitor<SecretAuthenticationOptions> options, ILoggerFactory logger,
        UrlEncoder encoder, ISystemClock clock) : base(options, logger, encoder, clock)
    {
    }

    private Task<AuthenticateResult> createSingleIdentityAuthenticationTicket(IEnumerable<Claim> claims)
    {
        //创建主体
        var claimsPrincipal = new ClaimsPrincipal();
        //创建证件
        var claimsIdentity = new ClaimsIdentity();
        //为证件添加信息
        claimsIdentity.AddClaims(claims);
        //为主体添加证件
        claimsPrincipal.AddIdentity(claimsIdentity);
        //返回认证票据
        return Task.FromResult(
            AuthenticateResult.Success(new AuthenticationTicket(claimsPrincipal, SecretAuthenticationOptions.Scheme)));
    }


    //小红的朋友
    private string[] xiaohongFriends = { "小红", "小芳", "小樱","小华" };

    //小红的爱慕者
    private string[] xiaohongAdorers = { "小明", "小李", "小华" };

    //具体认证过程
    //若该方案是默认方案,无论任何时候(action存不存在,有没有标注Authorize特性),该方法都会执行
    //若不是默认方案,则仅在标注了Authorize特性,并指定了该方案的情况下,该方法才会执行
    //若认证成功,会将返回值中的claimsPrincipal赋值给HttpContext.User,后续在action中可以访问
    //ClaimTypes.Role为预定义的Claim类型
    //ClaimTypes.Role = "http://schemas.microsoft.com/ws/2008/06/identity/claims/role"
    protected override Task<AuthenticateResult> HandleAuthenticateAsync()
    {
        var nameStringValues = Request.Query["name"];
        if (nameStringValues.Count != 1) return Task.FromResult(AuthenticateResult.NoResult());

        var name = nameStringValues.ToString();
        
        var claims = new List<Claim>(3);
        if (xiaohongFriends.Contains(name)) claims.Add(new Claim(ClaimTypes.Role,SecretRoles.XiaoHongFriend));
        if (xiaohongAdorers.Contains(name)) claims.Add(new Claim(ClaimTypes.Role,SecretRoles.XiaoHongAdorer));
        
        if(claims.Count == 0) return Task.FromResult(AuthenticateResult.NoResult());
        
        claims.Add(new Claim("name",name));
        
        return createSingleIdentityAuthenticationTicket(claims);
    }
}

Or

[Route("[controller]/[action]")]
public class SecretSpaceController : ControllerBase
{
    //小红的朋友或小红的爱慕者都可访问
    [Authorize(Roles = $"{SecretRoles.XiaoHongFriend},{SecretRoles.XiaoHongAdorer}")]
    [HttpGet]
    public string OrSecret1() => $"{HttpContext.User.FindFirst("name")?.Value ?? "无名"}知道了小明喜欢小红";
}

And

[Route("[controller]/[action]")]
public class SecretSpaceController : ControllerBase
{   
    //同时是小红的朋友和小红的爱慕者才可以访问(只有小华可以)
    [Authorize(Roles = SecretRoles.XiaoHongAdorer)]
    [Authorize(Roles = SecretRoles.XiaoHongFriend)]
    [HttpGet]
    public string AndSecret1() => $"{HttpContext.User.FindFirst("name")?.Value ?? "无名"}知道了小明喜欢小红";
}

基于策略的授权

Program.cs添加AddAuthorization

//添加授权策略
builder.Services.AddAuthorization(options =>
{
    //若Authorize特性中没有指定策略和角色,则使用该策略
    options.DefaultPolicy = new AuthorizationPolicyBuilder().RequireRole(SecretRoles.XiaoHongAdorer,SecretRoles.XiaoHongFriend).Build();
    //添加策略
    options.AddPolicy("策略名", authorizationPolicyBuilder =>
    {
        //使用AuthorizationPolicyBuilder添加具体策略
    });
});

自定义授权处理器

同时实现AuthorizationHandler和IAuthorizationRequirement

using System.Security.Claims;
using Microsoft.AspNetCore.Authorization;

namespace CustomAuthentication.AuthorizationHandlers;

public class SecretAuthorizationHandler : AuthorizationHandler<SecretAuthorizationHandler>,IAuthorizationRequirement
{
    private readonly string[] roles;
    
    public SecretAuthorizationHandler(params string[] roles)
    {
        this.roles = roles;
    }
    
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, SecretAuthorizationHandler requirement)
    {
        if (context.User.Claims.Where(claim => claim.Type == ClaimTypes.Role).Any(claim => requirement.roles.Contains(claim.Value)))
        {
            context.Succeed(requirement);
            return Task.CompletedTask;
        }
        context.Fail();
        return Task.CompletedTask;
    }
}

	options.AddPolicy("RolesPolicy", authorizationPolicyBuilder =>
    {
        //对于每个Requirement,若有一个处理器调用了context.Fail()或没有任何处理器调用了context.Succeed(Requirement),则该Requirement检验失败,否则检验成功
        //若所有的Requirement都检验成功,则授权成功,否则授权失败
        //这里添加了2个Requirement和2个Handler,每个Requirement都需要被所有Handler处理,总共调用了4次
        authorizationPolicyBuilder.AddRequirements(new SecretAuthorizationHandler(SecretRoles.XiaoHongAdorer));
        authorizationPolicyBuilder.AddRequirements(new SecretAuthorizationHandler(SecretRoles.XiaoHongFriend));
    });

	[Authorize(Policy = "RolesPolicy")]
    [HttpGet]
    public string Secret1() => $"{HttpContext.User.FindFirst("name")?.Value ?? "无名"}知道了小明喜欢小红";

分别实现AuthorizationHandler和IAuthorizationRequirement

public class SecretAuthorizationRequirement : IAuthorizationRequirement
{
    public IEnumerable<string> Roles { get; set; }
}

public class SecretAuthorizationHandler : AuthorizationHandler<SecretAuthorizationRequirement>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, SecretAuthorizationRequirement requirement)
    {
        if (context.User.Claims.Where(claim => claim.Type == ClaimTypes.Role)
            .Any(claim => requirement.Roles.Contains(claim.Value)))
        {
            context.Succeed(requirement);
            return Task.CompletedTask;
        }

        context.Fail();
        return Task.CompletedTask;
    }
}

builder.Services.AddSingleton<IAuthorizationHandler,SecretAuthorizationHandler>();

	options.AddPolicy("RolesPolicy", authorizationPolicyBuilder =>
    {
    	//对于每个Requirement,若有一个处理器调用了context.Fail()或没有任何处理器调用了context.Succeed(Requirement),则该Requirement检验失败,否则检验成功
        //若所有的Requirement都检验成功,则授权成功,否则授权失败
        authorizationPolicyBuilder.AddRequirements(new SecretAuthorizationRequirement { Roles = new []{SecretRoles.XiaoHongAdorer} });
        authorizationPolicyBuilder.AddRequirements(new SecretAuthorizationRequirement { Roles = new []{SecretRoles.XiaoHongFriend} });
    });

直接实现IAuthorizationHandler,处理多个Requirement

public class SecretAuthorizationHandler : IAuthorizationHandler
{
    public async Task HandleAsync(AuthorizationHandlerContext context)
    {
        //context.Requirements => 所有的Requirement
        //context.PendingRequirements => 所有未被标记为succeeded的Requirement
        //AuthorizationHandler<IAuthorizationRequirement>也是在此方法内根据Requirement的类型判断是否调用HandleRequirementAsync
        
        //后面再根据Requirement的具体类型进行分别处理...
    }
}

AuthorizationPolicyBuilder中的其他方法

	options.AddPolicy("RolesPolicy", authorizationPolicyBuilder =>
    {
        //和在Authorize特性中指定方案名效果一样
        authorizationPolicyBuilder.AddAuthenticationSchemes(SecretAuthenticationOptions.Scheme);
        
        //以下方法内部都是利用前面的方法实现的
        authorizationPolicyBuilder.RequireRole(SecretRoles.XiaoHongAdorer,SecretRoles.XiaoHongFriend);
        authorizationPolicyBuilder.RequireClaim(ClaimTypes.Role);
        authorizationPolicyBuilder.RequireClaim(ClaimTypes.Role,SecretRoles.XiaoHongAdorer,SecretRoles.XiaoHongFriend);
        authorizationPolicyBuilder.RequireAssertion(authorizationHandlerContext =>
        {
            //利用authorizationHandlerContext做一些判断
            return false;
        });
    });

策略提供器(实现动态策略)

public class CustomAuthorizationPolicyProvider : IAuthorizationPolicyProvider
{
    //默认策略提供器
    private IAuthorizationPolicyProvider defaultPolicyProvider;
    
    public CustomAuthorizationPolicyProvider(IOptions<AuthorizationOptions> options)
    {
        defaultPolicyProvider = new DefaultAuthorizationPolicyProvider(options);
    }
    
    public async Task<AuthorizationPolicy?> GetPolicyAsync(string policyName)
    {
        var policy = await defaultPolicyProvider.GetPolicyAsync(policyName);
        if (policy is not null)
        {
            //如果策略是硬编码的,由默认策略提供器处理就行
            return policy;
        }

        var builder = new AuthorizationPolicyBuilder();
        
        //根据策略名对builder做些处理...

        return builder.Build();
    }

    public Task<AuthorizationPolicy> GetDefaultPolicyAsync() => defaultPolicyProvider.GetDefaultPolicyAsync();

    public Task<AuthorizationPolicy?> GetFallbackPolicyAsync() => defaultPolicyProvider.GetFallbackPolicyAsync();
}

builder.Services.AddSingleton<IAuthorizationPolicyProvider,CustomAuthorizationPolicyProvider>();

基于资源的授权

using Microsoft.AspNetCore.Authorization;

namespace CustomAuthentication.AuthorizationHandlers;

public class SameAuthorRequirement : IAuthorizationRequirement { }

public class Document
{
    public long Id { get; set; }
    public string Author { get; set; }
}

public class DocumentAuthorizationHandler : 
    AuthorizationHandler<SameAuthorRequirement, Document>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context,
        SameAuthorRequirement requirement,
        Document resource)
    {
        if (context.User.Identity?.Name == resource.Author)
        {
            context.Succeed(requirement);
        }

        return Task.CompletedTask;
    }
}

builder.Services.AddAuthorization(options =>
{
    options.AddPolicy("DocumentPolicy", policy =>
        policy.Requirements.Add(new SameAuthorRequirement()));
});

builder.Services.AddSingleton<IAuthorizationHandler, DocumentAuthorizationHandler>();

	[HttpGet]
    public async Task<string> GetAuthor([FromQuery] int id,[FromServices] IAuthorizationService authorizationService)
    {
        Document document = null;
        
        //根据id从数据库查询得到document
        //document = ....

        //授权结果
        var authorizeResult = await authorizationService.AuthorizeAsync(HttpContext.User, document, "DocumentPolicy");
        
        if (authorizeResult.Succeeded)
        {
            //授权成功...
        }
        else
        {
            //授权失败...
        }

        return "";
    }

有扩展重载方法IAuthorizationService.AuthorizeAsync(user , policy),不需要传入资源

君的世界
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[Asp.Net Core]鉴权授权
德仔
12-23 939
鉴权授权 为了拦截一些操作; 传统的授权方式;session/Cookies来完成; 1.在请求某个Action之前去做校验,验证当前操作者是否登录过,登录过就有权限 2.如果没有权限就跳转到登录页中去 AOP–Filter; ActionFilter: 传统的登陆,需要匿名; .NET5鉴权授权 通过中间件来支持; 第一步:在 app.UseRouting();之后,在app.UseEndpoints()之前,增加鉴权授权; 鉴权: app.UseAuthentication();—检测用户是否登录 授权
ASP.NET Core 认证与授权[5]:初识授权
weixin_33918357的博客
11-21 286
经过前面几章的姗姗学步,我们了解了在 ASP.NET Core 中是如何认证的,终于来到了授权阶段。在认证阶段我们通过用户令牌获取到用户的Claims,而授权便是对这些的Claims的验证,如:是否拥有Admin的角色,姓名是否叫XXX等等。本章就来介绍一下 ASP.NET Core授权系统的简单使用。 目录 简单授权 IAllowAnonymous IAuthorizeData 授权策...
asp.net core自定义授权过滤器
qq_41942413的博客
12-23 759
/在需要授权的方法上使用TypeFilter特性表示要使用授权过滤器,也可以是用。serviceFilter要输入服务。//只有登录的用户可以访问。不需要授权的接口可以使用。2.自定义授权过滤器。
ASP.NET入门知识
XiaoDu007的博客
12-26 1311
除了.NET Framework,微软还推出了一些与.NET相关的技术和框架,如ASP.NET、ADO.NET、Windows Presentation Foundation(WPF)、Windows Communication Foundation(WCF)和Windows Workflow Foundation(WF)等。总体来说,.NET Framework提供了一种强大而灵活的开发平台,使得开发人员可以快速、高效地构建各种类型的应用程序,包括桌面应用程序、Web应用程序、移动应用程序和服务等。
ASP.NET Core:认证与授权
子昊
01-27 3414
认证 认证是安全体系的第一道屏障。当访问者的请求进入的时候,认证体系通过验证对方提供的凭证来确定它的真实身份。认证体系只有在证实了访问者的真实身份之后才允许它进入。.NET Core提供了多种认证方式。但是它们的实现都是一样的。都是基于同一个认证模型的。 ASP.NET Core的认证功能是通过内置的一个认证组件来提供的。这个组件在处理分发给它的请求时会按照指定的认证方案从请求中提取能够验证用户真实身份的数据。我们一般把这种数据称为安全令牌。在ASP.NET Core应用下的安全令牌也叫做认证票据。
ASP.NET身份验证和授权
Harrison的学习博客
03-13 1447
目录 一、安全模式 二、ASP.NET支持的四种验证 三、认证和授权 四、Form的常用属性 五、对密码进行加密 六、对用户进行授权 七、设置用户访问权限 八、设置特定的文件和目录 一、安全模式 安全模式的必要性: 构造特殊的链接地址,导致文件内的数据泄露 数据库泄露 安全防范的首要策略:所有的HTTP访问都要经过IIS,所以限制IIS的安全性是关键(只有管理员才能登录管...
ASP.NET Core认证授权方案
dotNET跨平台
04-25 777
前言在前面我讲过基于token的权限认证,然后前几天有小伙伴私信我,怎么做一个身份认证也就是授权。在Asp.net Core常见的授权方式有:基于角色的授权,有基于声明的授权,有基于策略的授权, 这三种授权我就不做过多介绍了,大家可以去查阅官网, https://docs.microsoft.com/en-us/aspnet/core/security/authoriza...
ASP.NET 简介
m0_61690793的博客
10-09 9776
ASP.NET又称为ASP+,不仅仅是ASP的简单升级,而是微软公司推出的新一代脚本语言。ASP.NET基于.NET Framework的Web开发平台,不但吸收了ASP以前版本的最大优点并参照Java、VB语言的开发优势加入了许多新的特色,同时也修正了以前的ASP版本的运行错误。 ASP.NET具备开发网站应用程序的一切解决方案,包括验证、缓存、状态管理、调试和部署等全部功能。在代码撰写方面特色是将页面逻辑和业务逻辑分开,它分离程序代码与显示的内容,让丰富多彩的网页更容易撰写。同时使程序...
asp.net 的介绍
m0_72286882的博客
06-21 553
总的来说,ASP.NET是一个非常强大的Web应用程序框架,它具有多种编程语言和数据存储方式的支持,提供了丰富的开发工具和插件,同时也可以集成到Windows系统中,并且具有跨平台性。总之,ASP.NET是一个强大的Web应用程序框架,它提供了多种功能和工具,使应用程序的开发和维护更加轻松和高效。总之,ASP.NET是一种开发Web应用程序的功能强大的框架,它提供了多种功能和工具,以加快应用程序的开发和维护,对于想要开发网站和Web应用程序的开发者来说,是一个非常理想的选择。
关于.NETASP.NET和ASP
荒唐的博客
04-19 2471
发展历程 1996年,ASP 1.0(Active Server Pages,即ASP)版本出现了,它引起了Web开发的新革命,降低了动态网页开发的难度。以前开发动态网页需要编写大量繁杂的C代码,编程效率非常低下,而且需要Web网页开发者掌握非常高的编程技巧。而ASP使用简单的脚本语言,能够将代码直接嵌入HTML,使设计Web网页变得简单。 虽然ASP非常简单,但却能够实现非常强大的功能,这一切得益于其组件。特别是ADO组件,使得在网页中访问数据库易如反掌。这一切推动了动态网页的快速发展与建设,同时使A
asp.net core 授权详解
10-15
在本篇文章里小编给大家整理了关于asp.net core 授权的相关知识点内容,需要的朋友们学习下。
ASP.NET网页微信登录授权,获取用户基本信息
04-24
2、通过code换取网页授权access_token,用户openId等信息 3、通过access_token和用户的openId获取该用户的用户信息 因为第一步必须要经过微信的登录授权,不能网页后端请求,所以先要经过用户同意,通过页面网页...
Asp.Net Core 企业微信静默授权的实现
10-14
主要介绍了Asp.Net Core 企业微信静默授权的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
asp.net 微信授权页面
09-08
微信授权,并获得用户信息。其中还包括是否关注公众号。通过获取token 换ticket 然后或去用户信息,自定义微信实体类就不发上来了。只要是微信开发的都懂
基于asp.net大学生健康管理系统功能介绍
weixin_42874480的博客
06-11 638
个人基础健康管理,通过列表可以获取账号、照片、姓名、学院、学籍号、性别、出生日期、联系电话、民族、药物过敏史、具体时间、动过手术、体重、年龄、既往病史、照片等信息,进行在线查看详情,如图。体检信息:通过列表可以进行查看姓名、账号、年龄、性别、学院、学籍号、手机身高、血压、体重、肺活量、视力、色觉检查、嗅觉、向前、口吃等信息,进行在线查看详情、新增、修改或删除操作,如图。,在系统首页可以查看首页、个人基础健康、疫情打卡、心理健康、体检信息、体检、公告、个人中心、后台管理等内容,如图。
安享智慧理财金融测试项目
Infinity_and_beyond的博客
06-11 1031
mock 测试就是在测试过程中,对于某些不容易构造或者不容易获取的对象,用一个虚拟的对象来创建以便测试的测试方法,这个虚拟的对象就是 mock 对象,mock 对象就是真实对象在调试期间的代替品项目基于什么框架?前端后端如何进行测试?架构:B/S架构(浏览器/服务器)前端:HTML + CSS + JavaScript + VUE后端:Java应用服务器:Nginx + Apache数据库:MYSQL前端使用 UI 自动化框架完成功能测试,后端则通过编写自动化脚本实现接口测试。
ASP.NET第五章 --案例
m0_66701589的博客
06-11 689
输入用户名密码正确,点击提交,跳转到index3页面,并在url上显示密码。在index2.aspx中打开,输入正确用户名密码,点击提交。1. 添加一个新的web窗体,名字叫index2。4. 添加一个新的web窗体,名字叫index3。2.添加一个新的web窗体,名字叫app。3.创建web窗体,名字叫index1。5. 打开index1.asax.cs。1. 打开Global.asax.cs。4.打开Global.asax.cs。6.打开index3.aspx.cs。3.打开设计页面,双击提交按钮。
如何将ai集成到项目中,方法二
weixin_65144487的博客
06-14 731
上一篇文章内容主要针对于未实现权限分离的项目,这篇文章主要来说一下权限分离的项目怎么做,以及注意的细节。通过上述步骤相信你已经成功把ai集成到项目了,如果有任何疑惑,欢迎大家点赞收藏评论,我会为你们一一解答。
挑战5分钟内基于Springboot+SpringMVC+Mybatis-plus快速构建web后端三层架构
最新发布
牛马程序员的博客
06-15 869
当战斗开始,每一次挥动的动作仿佛舞蹈般流畅而有力,每一声兵器相击的撞击声都像是节奏的一部分。战斗的瞬间,心跳与每一个动作同步,身体仿佛融入了战场的氛围之中。每一个战术的执行都带来了 接着配置数据库连接信息 接下来 用Mybatis-plus开发数据层接口 开发业务层 面向接口编程 书写实现类 在注入数据层接口的同时 创建控制器 controller层MVC类 这样一个基本的框架就已经完成我们这时候到postman里发起请求 去进行一个查询挑战成功耗时4分49秒!
ASP.net基础知识
05-09
ASP.NET是一个开源的web应用程序框架,由微软开发和...5. ASP.NET的认证和授权ASP.NET提供了多种认证和授权机制,包括Windows身份验证、Forms身份验证、角色管理等。这些机制可以帮助开发人员保护应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值