.net core下访问控制层的实现

最新推荐文章于 2023-10-02 09:45:00 发布
最新推荐文章于 2023-10-02 09:45:00 发布
阅读量582 收藏
点赞数
分类专栏: .net core 文章标签: asp.net c# .net core 权限验证 后端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jayshehe/article/details/79808995
版权

在上一篇[.net core下对于附件上传下载的实现]主要介绍了 .net core下文件上传下载的相关操作,本篇主要介绍下对于权限验证如何通过自定义的中间件进行拦截实现。

对于一般的程序而言,如果在未登录的情况下理应是没有对应的权限访问对应的页面的,同时,不同的用户也需要验证该用户权限是否满足条件。

对于后端服务来说,就需要有个中间层进行拦截,验证对应的http请求是否满足权限要求。

这里我们用到了Middleware-请求管道,通过自定义中间件的方式来实现对Http请求的拦截,实现相关验证。

对于Middleware-请求管道的原理和解释可以参考这篇文章:Middleware-请求管道的构成

实现逻辑

用户在登录成功后,我们在服务端会自动生成一个Token,这个Token会绑定对应的权限,同时保存到Redis中。

我们自定义的中间层会拦截请求,获取请求中的Token是否合法,若不合法会对该请求进行拦截。

通过使用UseMiddleware扩展方法,将拦截到的HttpContext进行相应的逻辑处理。

具体代码

首先我们自定义一个权限控制的中间件,SecurityMiddleware类就是我们具体的逻辑实现。

public static IApplicationBuilder UseSecurity(this IApplicationBuilder builder)
{
    return builder.UseMiddleware<SecurityMiddleware>();
}

Startup.cs中的Configure方法下,我们添加我们自定义的中间件:

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }

    app.UseSwagger();
    app.UseSwaggerUI(c => {
        c.SwaggerEndpoint("/swagger/v1/swagger.json", "我的API V1");
    });

    app.UseSecurity();//自定义中间件

    app.UseMvc();
}

接下来我们具体实现对应的SecurityMiddleware类,主要实现对应的Invoke方法

public async Task Invoke(HttpContext context)
{
    string path = context.Request.Path.ToString().ToLower();

    // 判断请求的路径是否是排除权限限制的(如登录页,登录页)
    if (excludeUrl.Contains(path))
    {
        await _next(context);
        return;
    }

    // 寻找header中的token
    string userToken = string.Empty;            
    bool hasValue = context.Request.Headers.TryGetValue(INVOKER_TOKEN_HEADER, out StringValues token);
    if (!hasValue || token.Count == 0)
    {
        // 若header没取到token,则尝试从cookie中获取
        userToken = context.Request.Cookies[USER_TOKEN_COOKIE_NAME];
        if(string.IsNullOrWhiteSpace(userToken))
        {
            // TODO: 尚未登录,未经授权
            await CreateUnauthorizedResponse(context);

            return;
        }
    }
    else
    {
        userToken = token[0];
    }

    //根据对应的Token到Redis中找对应的权限数据,若没找到,说明没有授权
    var userInfo = await GetUserInfo(userToken);
    if (userInfo == null)
    {
        // TODO: 尚未登录,未经授权
        await CreateUnauthorizedResponse(context);
        return;
    }

    //可继续针对请求判断是否有相对应的权限
}

对应构造Response方法:

private static async Task CreateUnauthorizedResponse(HttpContext context)
{
    context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
    context.Response.ContentType = "application/json;charset=utf-8";

    ResponseResult result = new ResponseResult
    {
        Result = false,
        ErrorMessage = "您需要登录后访问此资源,请先进行登录操作。",
        Code = ResponseCode.Unauthorized
    };

    await context.Response.WriteAsync(JsonConvert.SerializeObject(result), Encoding.UTF8);
}

到这里,我们基本上实现的对应的控制访问。

总结

对于本篇来说,还是需要去了解下 .net core的运行原理,以便更好的去实现你想要的方法。

玄冰_殇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.NET Core请求控制器Action方法正确匹配,但为何404?
gg7894125的博客
06-24 1700
前言 有些时候我们会发现方法名称都正确匹配,但就是找不到对应请求接口,所以本文我们来深入了解下何时会出现接口请求404的情况。 匹配控制器Action方法(404) 首先我们创建一个web api应用程序,我们给出如下示例控制器代码 复制代码 [ApiController] [Route("[controller]/[action]")] public class WeatherController : ControllerBase { [HttpGet] string Get() { return “He
c# .net core项目角色授权机制
最新发布
不积跬步,无以至千里;不积小流,无以成江海;千里之行,始于足下
08-03 255
角色授权机制是确保应用程序安全性的重要组成部分,它允许开发者根据用户的角色来限制对应用程序中不同资源的访问。
.net中的数据访问的封装
谢小枫的专栏
12-05 2063
当年.net项目中自己封装的数据访问,个人感觉使用非常方便
ASP.NET 必需的访问控制列表 (ACL)
aobc72208的博客
11-20 129
下表显示 ASP.NET Web 应用程序的标识必须具有哪一类型的文件和文件夹权限才能正常工作。一些权限只是 ASP.NET 进程的运行帐户所需要的,而其他权限则是任何模拟帐户也都需要的。 位置 访问类型 帐户 注释 %SystemRoot%\Microsoft.NET\Framework\versionNumber\Temporary...
asp.net core 系列】- 11 Service实现样板
菜鸡成长日记
06-21 1551
0.前言 在《asp.net core 系列》之实战系列中,我们在之前的篇幅中对项目有了一个大概的认知,也搭建了一个基础的项目骨架。那么就让我们继续完善这个骨架,让它更加丰满。这一篇,我将带领小伙伴们一起实现用户管理功能。 1. 数据表 一般情况下,我们会把用户表和登录信息表放在两个表里。为什么会这样设计呢?出于以下几种考虑: 使功能分割,用户信息管理是用户管理,登录是登录 增加安全,降低无关信息的查询,例如访问登录接口不会连带检索用户的普通信息,当进行用户信息管理的时候,不会把登录信息也带过来 等等
Asp.Net Core 3.1 MVC+EF Core +SqlSugar ORM框架实例 多架构示例Demo
11-05
在本示例中,EF Core被用于数据访问,以简化数据库操作。 【SqlSugar ORM框架】 SqlSugar是另一款流行的ORM框架,它提供了与EF Core类似的功能,但更轻量级,适合中小型项目。SqlSugar支持多种数据库,包括SQL ...
Asp.Net Core 中的“虚拟目录”实现
12-17
`FileProvider`是.NET Core中用于访问文件系统的一个抽象,它允许开发者从不同的源(不仅仅是物理文件系统)获取文件信息。这个设计使得在Asp.Net Core中,即使不依赖于特定的服务器环境,也能实现类似虚拟目录的...
.net core 3.1 购物网站 WebAPI实现业务操作
02-27
.NET Core 3.1 实现购物网站WebAPI业务操作详解》 在现代Web开发领域,.NET Core 3.1已经成为一个重要的框架,它提供了高性能、跨平台的开发能力,尤其在构建WebAPI方面表现出色。本篇文章将深入探讨如何使用.NET...
ORM框架 整合asp.net core mvc和Dapper、Autofac实现依赖注入和AOP,同时结合Redis实现 _缓
07-11
ASP.NET Core中,我们可以使用拦截器(Interceptor)实现AOP,通过自定义拦截器,可以在数据访问之前或之后执行特定操作,例如记录SQL执行时间、执行事务控制等。 最后,Redis是一个开源的内存数据结构存储系统,...
.Net Core2.1 使用SqlSugar对SqlServer数据库操作
07-04
.NET Core 2.1开发环境中,SqlSugar是...总之,.NET Core 2.1项目使用SqlSugar和三架构进行数据库操作,实现了高效、简洁的代码组织。通过这种方式,开发者可以专注于业务逻辑,而不用过于关注底的数据操作细节。
.Net Core后端架构实战【介入IOC控制反转】
2201_75761617的博客
10-02 480
假设容器在构造对象A时,对象A的构造依赖对象B、对象C、对象D这些参数,容器会将这些依赖关系自动构造好,最大限度的完成程序的解耦。DI容器ServiceProvider之所以能够根据我们给定的服务类型(一般是一个接口类型)提供一个能够开箱即用的服务实例,是因为我们预先注册了相应的服务描述信息,就是说ServiceDescriptor为容器提供了正确的服务信息以供容器选择对应的实例。这样可以提高服务对象的创建速度,但是也可能会导致一些潜在的 bug,因为服务对象的作用域与其依赖项的作用域不匹配。
C#/.Net企业级系统架构设计实战精讲教程
12-03
课程通过实际项目融入常用开发技术架构,讲授风格独特,提供详细上课日志及答疑,赠送配套的项目架构源码注释详细清晰且表达通俗,均能直接在实际项目中应用,正真的物超所值,价格实惠任务作业:综合运用《C#/.Net企业级系统架构设计实战精讲教程》课程所学知识技能设计一个学生成绩管理系统的架构。要求:1.系统基于MVC的三架构,各单独建不同的解决方案文件夹。2.采用Model First开发方式,设计架构时只需要设计学生表(TbStudent)和课程表(TbCourse)。学生表必须有的字段是ID、stuName、age;课程表必须有的字段是ID、courseName、content。3.数据访问采用Entity Framework或NHibernate来实现,必须封装对上述表的增删改查方法。4.必须依赖接口编程,也就是必须要有数据访问的接口、业务逻辑的接口等接口之间必须减少依赖,可以通过简单工厂或抽象工厂。5.至少采用简单工厂、抽象工厂、Spring.Net等技术中的2种来减少之间的依赖等。6.封装出DbSession类,让它拥有所有Dal实例和SaveChanges方法。7.设计出数据访问及业务逻辑主要类的T4模板,以便实体增加时自动生成相应的类。8.表现要设计相关的控制器和视图来验证设计的系统架构代码的正确性,必须含有验证增删改查的方法。9.开发平台一定要是Visual Studio平台,采用C#开发语言,数据库为SQL Server。10.提交整个系统架构的源文件及生成的数据库文件。(注意: 作业需写在CSDN博客中,请把作业链接贴在评论区,老师会定期逐个批改~~)
.net core下配置、数据库访问等操作实现
weixin_34210740的博客
03-25 819
在上一篇[.net core项目实战之基于Restful API+Swagger项目搭建]主要介绍了项目WebApi的基本搭建,本篇主要针对开发过程中一些常用的操作方法 配置读取 .net core下读取配置还是有点麻烦的,本身没有System.Configuration.dll,所以在进行配置前需要自行引用Microsoft.Extensions.Configuration,截图如下: 这...
.net core An assembly specified in the application dependencied mainfest(****.json)was not found解决办法
梁身定做
06-13 932
 最近在开发项目中,遇到了一个问题.在本机开发中部署到本机iis上或者本机控制台都没有问题,运行正常.当发布部署到服务器(windowsServer)中的时候一直运行不起来,用控制台也运行不起来,直接报错.              怎么更新版本都无法解决.最终看报错信息是因为Microsoft.ApplicationInsights.AspNetCore不存在,找不到.最后在项目中引用它并且发布...
第一课:ASP.NET Core入门之简单快速搭建ASP.NET Core项目结构
agoling的博客
06-23 2119
本教程将分为多个课程为大家分享下如何简单快速搭建一个ASP.NET Core 项目。为了快速和简单,本项目采用UtilsSharp框架搭建,只需要简单配置就可以马上搭建完成。项目采用.NET Core 3.1,数据库采用MySql+ElasticSearch,大家可以根据自己的项目需求选择删减,包含依赖注入(autofac)、日志输出、数据库处理、出入参规范、swagger、公共工具类等。.........
是什么优化让 .NET Core 性能飙升?
07-17 726
本文参考文章:https://blogs.msdn.microsoft.com/dotnet/2017/06/07/performance-improvements-in-net-core/ 转载请注明出自:葡萄城官网,葡萄城为开发者提供专业的开发工具、解决方案和服务,赋能开发者。 .NET Core(开放源代码,跨平台,x-copy可部署等)有许多令人兴奋的方面...
ASP.NET MVC 5 中Controller知识点盘点
kingshown_WZ的专栏
03-31 1968
前言 Controller(控制器)在ASP.NET MVC中负责控制所有客户端与服务器的交互,并且负责协调Model和View之间的数据传递。 1、关于Controller的责任 ASP.NET MVC的核心就是控制器(Controller),负责处理浏览器的所有要求,并决定响应什么属性给浏览器,但是Controller并不负责决定属性如何显示,仅响应特定的...
ASP.NET Core权限控制:AccessControlHelper实现与策略示例
ASP.NET Core开发中,控制访问权限是一个常见的需求,特别是在MVC架构的Web应用中。本文档介绍了如何使用AccessControlHelper这一组件来实现精细的权限管理,它最初主要针对.NET Framework,但随着.NET Core版本的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值