.net core下访问控制层的实现

最新推荐文章于 2023-10-02 09:45:00 发布
最新推荐文章于 2023-10-02 09:45:00 发布
阅读量585 收藏
点赞数
分类专栏: .net core 文章标签: asp.net c# .net core 权限验证 后端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jayshehe/article/details/79808995
版权

在上一篇[.net core下对于附件上传下载的实现]主要介绍了 .net core下文件上传下载的相关操作,本篇主要介绍下对于权限验证如何通过自定义的中间件进行拦截实现。

对于一般的程序而言,如果在未登录的情况下理应是没有对应的权限访问对应的页面的,同时,不同的用户也需要验证该用户权限是否满足条件。

对于后端服务来说,就需要有个中间层进行拦截,验证对应的http请求是否满足权限要求。

这里我们用到了Middleware-请求管道,通过自定义中间件的方式来实现对Http请求的拦截,实现相关验证。

对于Middleware-请求管道的原理和解释可以参考这篇文章:Middleware-请求管道的构成

实现逻辑

用户在登录成功后,我们在服务端会自动生成一个Token,这个Token会绑定对应的权限,同时保存到Redis中。

我们自定义的中间层会拦截请求,获取请求中的Token是否合法,若不合法会对该请求进行拦截。

通过使用UseMiddleware扩展方法,将拦截到的HttpContext进行相应的逻辑处理。

具体代码

首先我们自定义一个权限控制的中间件,SecurityMiddleware类就是我们具体的逻辑实现。

public static IApplicationBuilder UseSecurity(this IApplicationBuilder builder)
{
    return builder.UseMiddleware<SecurityMiddleware>();
}

Startup.cs中的Configure方法下,我们添加我们自定义的中间件:

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }

    app.UseSwagger();
    app.UseSwaggerUI(c => {
        c.SwaggerEndpoint("/swagger/v1/swagger.json", "我的API V1");
    });

    app.UseSecurity();//自定义中间件

    app.UseMvc();
}

接下来我们具体实现对应的SecurityMiddleware类,主要实现对应的Invoke方法

public async Task Invoke(HttpContext context)
{
    string path = context.Request.Path.ToString().ToLower();

    // 判断请求的路径是否是排除权限限制的(如登录页,登录页)
    if (excludeUrl.Contains(path))
    {
        await _next(context);
        return;
    }

    // 寻找header中的token
    string userToken = string.Empty;            
    bool hasValue = context.Request.Headers.TryGetValue(INVOKER_TOKEN_HEADER, out StringValues token);
    if (!hasValue || token.Count == 0)
    {
        // 若header没取到token,则尝试从cookie中获取
        userToken = context.Request.Cookies[USER_TOKEN_COOKIE_NAME];
        if(string.IsNullOrWhiteSpace(userToken))
        {
            // TODO: 尚未登录,未经授权
            await CreateUnauthorizedResponse(context);

            return;
        }
    }
    else
    {
        userToken = token[0];
    }

    //根据对应的Token到Redis中找对应的权限数据,若没找到,说明没有授权
    var userInfo = await GetUserInfo(userToken);
    if (userInfo == null)
    {
        // TODO: 尚未登录,未经授权
        await CreateUnauthorizedResponse(context);
        return;
    }

    //可继续针对请求判断是否有相对应的权限
}

对应构造Response方法:

private static async Task CreateUnauthorizedResponse(HttpContext context)
{
    context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
    context.Response.ContentType = "application/json;charset=utf-8";

    ResponseResult result = new ResponseResult
    {
        Result = false,
        ErrorMessage = "您需要登录后访问此资源,请先进行登录操作。",
        Code = ResponseCode.Unauthorized
    };

    await context.Response.WriteAsync(JsonConvert.SerializeObject(result), Encoding.UTF8);
}

到这里,我们基本上实现的对应的控制访问。

总结

对于本篇来说,还是需要去了解下 .net core的运行原理,以便更好的去实现你想要的方法。

玄冰_殇
关注
专栏目录
.NET Core请求控制器Action方法正确匹配,但为何404?
gg7894125的博客
06-24 1710
前言 有些时候我们会发现方法名称都正确匹配,但就是找不到对应请求接口,所以本文我们来深入了解下何时会出现接口请求404的情况。 匹配控制器Action方法(404) 首先我们创建一个web api应用程序,我们给出如下示例控制器代码 复制代码 [ApiController] [Route("[controller]/[action]")] public class WeatherController : ControllerBase { [HttpGet] string Get() { return “He
c# .net core项目角色授权机制
最新发布
不积跬步,无以至千里;不积小流,无以成江海;千里之行,始于足下
08-03 308
角色授权机制是确保应用程序安全性的重要组成部分,它允许开发者根据用户的角色来限制对应用程序中不同资源的访问。
.net中的数据访问的封装
谢小枫的专栏
12-05 2063
当年.net项目中自己封装的数据访问,个人感觉使用非常方便
ASP.NET 必需的访问控制列表 (ACL)
aobc72208的博客
11-20 130
下表显示 ASP.NET Web 应用程序的标识必须具有哪一类型的文件和文件夹权限才能正常工作。一些权限只是 ASP.NET 进程的运行帐户所需要的,而其他权限则是任何模拟帐户也都需要的。 位置 访问类型 帐户 注释 %SystemRoot%\Microsoft.NET\Framework\versionNumber\Temporary...
asp.net core 系列】- 11 Service实现样板
菜鸡成长日记
06-21 1560
0.前言 在《asp.net core 系列》之实战系列中,我们在之前的篇幅中对项目有了一个大概的认知,也搭建了一个基础的项目骨架。那么就让我们继续完善这个骨架,让它更加丰满。这一篇,我将带领小伙伴们一起实现用户管理功能。 1. 数据表 一般情况下,我们会把用户表和登录信息表放在两个表里。为什么会这样设计呢?出于以下几种考虑: 使功能分割,用户信息管理是用户管理,登录是登录 增加安全,降低无关信息的查询,例如访问登录接口不会连带检索用户的普通信息,当进行用户信息管理的时候,不会把登录信息也带过来 等等
Asp.Net Core 3.1 MVC+EF Core +SqlSugar ORM框架实例 多架构示例Demo
11-05
在本示例中,EF Core被用于数据访问,以简化数据库操作。 【SqlSugar ORM框架】 SqlSugar是另一款流行的ORM框架,它提供了与EF Core类似的功能,但更轻量级,适合中小型项目。SqlSugar支持多种数据库,包括SQL ...
Asp.Net Core 中的“虚拟目录”实现
12-17
`FileProvider`是.NET Core中用于访问文件系统的一个抽象,它允许开发者从不同的源(不仅仅是物理文件系统)获取文件信息。这个设计使得在Asp.Net Core中,即使不依赖于特定的服务器环境,也能实现类似虚拟目录的...
.net core 3.1 购物网站 WebAPI实现业务操作
02-27
.NET Core 3.1 实现购物网站WebAPI业务操作详解》 在现代Web开发领域,.NET Core 3.1已经成为一个重要的框架,它提供了高性能、跨平台的开发能力,尤其在构建WebAPI方面表现出色。本篇文章将深入探讨如何使用.NET...
ORM框架 整合asp.net core mvc和Dapper、Autofac实现依赖注入和AOP,同时结合Redis实现 _缓
07-11
ASP.NET Core中,我们可以使用拦截器(Interceptor)实现AOP,通过自定义拦截器,可以在数据访问之前或之后执行特定操作,例如记录SQL执行时间、执行事务控制等。 最后,Redis是一个开源的内存数据结构存储系统,...
.Net Core2.1 使用SqlSugar对SqlServer数据库操作
07-04
.NET Core 2.1开发环境中,SqlSugar是...总之,.NET Core 2.1项目使用SqlSugar和三架构进行数据库操作,实现了高效、简洁的代码组织。通过这种方式,开发者可以专注于业务逻辑,而不用过于关注底的数据操作细节。
.Net Core后端架构实战【介入IOC控制反转】
2201_75761617的博客
10-02 493
假设容器在构造对象A时,对象A的构造依赖对象B、对象C、对象D这些参数,容器会将这些依赖关系自动构造好,最大限度的完成程序的解耦。DI容器ServiceProvider之所以能够根据我们给定的服务类型(一般是一个接口类型)提供一个能够开箱即用的服务实例,是因为我们预先注册了相应的服务描述信息,就是说ServiceDescriptor为容器提供了正确的服务信息以供容器选择对应的实例。这样可以提高服务对象的创建速度,但是也可能会导致一些潜在的 bug,因为服务对象的作用域与其依赖项的作用域不匹配。
netcore权限控制_asp.net core mvc权限控制:分配权限
weixin_39629969的博客
12-19 616
前面的文章介绍了如何进行权限控制,即访问控制器或者方法的时候,要求当前用户必须具备特定的权限,但是如何在程序中进行权限的分配呢?下面就介绍下如何利用Microsoft.AspNetCore.Identity.EntityFrameworkCore框架进行权限分配。在介绍分配方法之前,我们必须理解权限关系,这里面涉及到三个对象:用户,角色,权限权限分配到角色,角色再分配到用户,当某个用户属于某个角...
netcore权限控制_详解.Net Core 权限验证与授权(AuthorizeFilter、ActionFilterAttribute)...
weixin_39881958的博客
12-19 2281
.Net Core 中使用AuthorizeFilter或者ActionFilterAttribute来实现登录权限验证和授权一、AuthorizeFilter新建授权类AllowAnonymous继承AuthorizeFilter,IAllowAnonymousFilterpublic class AllowAnonymous : AuthorizeFilter, IAllowAnonymou...
.net core下配置、数据库访问等操作实现
weixin_34210740的博客
03-25 820
在上一篇[.net core项目实战之基于Restful API+Swagger项目搭建]主要介绍了项目WebApi的基本搭建,本篇主要针对开发过程中一些常用的操作方法 配置读取 .net core下读取配置还是有点麻烦的,本身没有System.Configuration.dll,所以在进行配置前需要自行引用Microsoft.Extensions.Configuration,截图如下: 这...
NET Core架构,依赖注入
热门推荐
晓剑
07-13 1万+
NET Core搭建三架构,每之间使用依赖注入获取实例 项目结构如下 常用的三,Web-BLL-DLL BLL与DAL分为Interface里边是提供接口,Implments提供实现类,DIRegister提供依赖注入的映射关系 一:新...
简析 .NET Core 构成体系
weixin_34378969的博客
06-24 481
简析 .NET Core 构成体系 Roslyn 编译器 RyuJIT 编译器 CoreCLR & CoreRT CoreFX(.NET Core Libraries) .NET Core 代码开发、部署、运行过程 总结 前文介绍了.NET Core 在整个.NET 平台所处的地位,以及与.NET Framework的关系(原文链接),本文将详细介绍.NET Core 框架的构...
ASP.NET中的页面访问控制
小人物的专栏 *^_^*
10-18 1036
1、简介ASP.NET 是建立微软.Net平台上的WEB编程框架,可用于在服务器上生成功能强大、结构清晰的 Web 应用程序。有必要指出的是,由于 ASP.NET 基于.Net公共语言运行库,因此在ASP.NET中可以利用整个.Net平台的全部功能。本文通过对ASP.NET开发中的页面访问控制问题的描述,涉及到了Request、Response、Session、Cookie这几个对象,并对
我想,这是.NET领域最好用的权限管理、工作流框架了
anglecloudy的专栏
09-18 9434
net 中 vue 玩的最溜的,vue 中 .net 玩的最溜的,OpenAuth.Net 企业版正式发布。star 1600+的关注者,数十位付费企业及个人用户见证 OpenAuth.Net 的成长。从简单的 demo 到集权限管理、自定义表单、工作流管理为一体的快速开发框架。后端采用 .net core +EF core+ autofac + quartz +IdentityServer4 + nunit + swagger。超强的自定义权限控制功能,可灵活配置用户、角色可访问的数据权限
ASP.NET Core权限控制:AccessControlHelper实现与策略示例
ASP.NET Core开发中,控制访问权限是一个常见的需求,特别是在MVC架构的Web应用中。本文档介绍了如何使用AccessControlHelper这一组件来实现精细的权限管理,它最初主要针对.NET Framework,但随着.NET Core版本的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值