ASP.NET Core:认证与授权

已于 2022-06-07 15:14:56 修改
阅读量3.5k 收藏 3
点赞数
分类专栏: ASP.Net 文章标签: 中间件 ASP.Net Core
于 2022-01-27 10:09:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38037668/article/details/121270531
版权
本文介绍了ASP.NET Core中的认证和授权机制。认证过程包括验证用户凭证,颁发携带身份信息的认证票据,以及票据的撤销。认证组件基于统一的模型,通常使用安全令牌。授权则涉及根据用户权限设定策略,检查用户声明以决定访问权限。ClaimsIdentity、ClaimsPrincipal和AuthenticationTicket等类在其中起关键作用。同时,文章提到了基于角色的授权策略,强调先进行认证再进行授权的重要性。
摘要由CSDN通过智能技术生成

认证

认证是安全体系的第一道屏障。当访问者的请求进入的时候,认证体系通过验证对方提供的凭证来确定它的真实身份。认证体系只有在证实了访问者的真实身份之后才允许它进入。.NET Core提供了多种认证方式。但是它们的实现都是一样的。都是基于同一个认证模型的。

ASP.NET Core的认证功能是通过内置的一个认证组件来提供的。这个组件在处理分发给它的请求时会按照指定的认证方案从请求中提取能够验证用户真实身份的数据。我们一般把这种数据称为安全令牌。在ASP.NET Core应用下的安全令牌也叫做认证票据。

 认证组件实现的整个流程涉及上图所示的三种针对认证票据的操作。也就是认证票据的颁发、验证、撤销。我们将这三种操作对应的角色称为认证票据的颁发者、验证者、撤销者。在大部分场景下这三种角色其实是由同一个主体来扮演的。

颁发认证票据的过程其实就是登录的操作。一般来说,用户试图通过登录应用以获取认证票据的时候需要提供可用来证明自身身份的用户凭证。最常见的用户凭证的就是用户名加密码。认证方在确定了对方真实身份之后就会颁发一个认证票据。这个票据携带的该用户有关的身份权限,以及其它相关的信息。一旦客户端拥有了由认证方颁发的认证票据。我们就可以按照双方协商的方式在请求种携带这个认证票据。并以此票据声明的身份执行目标操作, 或则访问目标资源。

一般来说,这个认证票据是有时效性的。一旦过期就会无效。我们有的时候会希望在过期之前就让认证票据无效。这就是所谓的注销操作。由撤销者来完成。

ASP.NET Core认证系统目的就在于构建一个标准的模型,用来完成针对请求的认证以及相关登录和注销操作。

示例:

    public class demo21
    {
        private static readonly Dictionary<string, string> Account = new Dictionary<string, string>
        {
            { "Admin","123"},
            { "UserA","123"},
            { "UserB","123"}
        };

        public static void Run()
        {
            Host.CreateDefaultBuilder()
                .ConfigureWebHostDefaults(
                    builder => builder
                       .ConfigureServices(
                            collection => collection
                                .AddRouting()
                                .AddAuthentication(
                                    options => options
                                    .DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme
                                    )
                                .AddCookie()
                            )
                       .Configure(app => app
                        .UseAuthentication()
                        .UseRouting()
                        .UseEndpoints(endpoints => {
                            endpoints.Map("/",RenderHomePageAsync);
                            endpoints.Map("Account/Login",SignInAsync);
                            endpoints.Map("Account/Logout",SignOutAsync);
                        })
                        )
                    )
                .Build()
                .Run();
        }

        public static async Task RenderHomePageAsync(HttpContext context)
        {
            if (context?.User?.Identity?.IsAuthenticated == true)
            {
                await context.Response.WriteAsync(
                    @"<html>
                    <head><title>Index</title></head>
                    <body>" +
                    $"<h3>Welcome {context.User.Identity.Name}</h3>" +
                    @"<a href='/Account/Logout'>Sign out</a>
                    </body>
                    </html>"
                    );
            }
            else
            {
                await context.ChallengeAsync();
            }
        }

        public static async Task SignInAsync(HttpContext context)
        {
            if (string.CompareOrdinal(context.Request.Method, "GET") == 0)
            {
                await RenderLoginPageAsync(context, null, null, null);
            }
            else
            {
                var userName = context.Request.Form["username"];
                var password = context.Request.Form["password"];
                if (Account.TryGetValue(userName, out var pwd) && pwd == password)
                {
                    var identity = new GenericIdentity(userName, "Passord");
                    var principal = new ClaimsPrincipal(identity);
                    await context.SignInAsync(principal);
                }
                else
                {
                    await RenderLoginPageAsync(context, userName, password, "Invalid user name or password");
                }
            }
        }

        private static Task RenderLoginPageAsync(HttpContext context, string userName, string password,string errorMessage)
        {
            context.Response.ContentType = "text/html";
            return context.Response.WriteAsync(
                @"<html>
                <head><title>Login</t
最低0.47元/天 解锁文章
丿灬鑫崽丶
关注
专栏目录
ASP.NET Core高级之认证授权(一)--JWT入门-颁发、验证令牌
物联网大联盟
01-04 2065
正如每个人的家都需要锁门,每个系统也都需要对用户进行一些访问的控制,从而使系统更加地安全。
ASP.NET Core 8.0 JWT认证授权
weixin_44877917的博客
07-22 1518
在配置中调用AddPolicy来注册策略,在某些情况下,可能无法采用此方式注册所有策略,在这些情况下,可以使用自定义来控制如何提供授权策略,比如在运行时使用外部数据源中的信息策略确定授权要求。授权的主要方式,是通过Handler程序判断授权,需要实现接口。自定义一个实现自定义 Handler 程序继承并重写方法。实现策略提供的来动态添加策略。自定义返回自定义的响应增强默认质询或禁止响应。
深入剖析ASP.NET Core中的身份验证与授权:构建安全可靠的Web应用
最新发布
qq_43535970的博客
08-23 1288
在现代Web应用开发中,身份验证与授权是确保应用程序安全的基石。本文将深入探讨ASP.NET Core中的身份验证与授权机制,涵盖从传统Cookie认证到现代化JWT认证的详细实现,并通过策略授权等高级功能帮助你构建更加安全、灵活的Web应用程序。无论你是开发前端应用还是API接口,这篇文章都将为你提供全面的解决方案。
asp.net core认证授权
weixin_34261739的博客
09-01 342
asp.net core中,微软提供了基于认证(Authentication)和授权(Authorization)的方式,来实现权限管理的,本篇博文,介绍基于固定角色的权限管理和自定义角色权限管理,本文内容,更适合传统行业的BS应用,而非互联网应用。在asp.net core中,我们认证(Authentication)通常是在Login的Post Action中进行用户名或密码来验证用户是否正确...
快速理解ASP.NET Core认证授权
dotNET跨平台
01-04 1711
ASP.NET Core认证授权已经不是什么新鲜事了,微软官方的文档对于如何在ASP.NET Core中实现认证授权有着非常详细深入的介绍。但有时候在开发过程中,我们也往往会感觉无从...
[本周] 就来说说Asp.net 身份验证、授权
坚强2002@CSDN
08-06 672
 [本周]如约而至;时间是争取来的,这回的[本周]是把若干零碎的时间利用起来成文的,完成对Asp.net身份验证、访问授权等内容的梳理,可能漏掉的东西会比较多,漏掉的还是希望大家来补充。顺便说一下上次[本周]Ajax 那点事 题目我认为很平实很低调了,没料到还是被批评了,这回考虑一下用了一个白开水一样的题目,没有问题了吧?言归正传……观其大略:1.       Asp.net
Asp.Net Core 认证授权
Marzlam的博客
08-06 726
首先来弄清认证(Authentication) 授权 (Authorization) 生活举例:去澡堂洗澡,花钱之后给个澡牌,这就叫认证,拿着澡牌就可以进行澡堂的大厅里了,之后 男的去 男澡堂,女的去女澡堂,这就叫权限。 花钱在程序中 就是 登录,澡牌就是 Token 令牌也好标识也好都可以这么理解。 一般认证授权都是结合使用,不过你要是开了一个 男女混合澡堂不需要男女分开权限得需求也不是不可(滑稽~~言之有理) 认证授权发展方式 发展 方式 ...
asp.net core 6 api简单授权认证
07-23
ASP.NET Core 6 API 简单授权认证是构建安全Web API的重要环节,它确保只有经过验证的用户或服务能够访问敏感数据或执行特定操作。在这个框架中,授权是通过策略来实现的,这些策略定义了用户必须满足的条件才能访问...
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API中。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
ASP.NET Core 中使用 JWT 实现令牌认证授权范例程序代码
07-02
在这个场景中,我们关注的是如何在ASP.NET Core中利用JSON Web Tokens (JWT)进行身份验证和授权。JWT是一种轻量级的身份验证机制,适用于分布式系统,因为它不需要在服务器之间存储会话信息。 JWT通常包含三个部分...
ASP.NET Core:构建高性能Web应用的魔法之旅
java专栏
07-24 839
ASP.NET Core是一个跨平台、高性能、开源的框架,用于构建现代化的Web应用和服务。它支持Windows、Linux和macOS,并且可以运行在Docker容器中。
.NET Core认证授权
qq_18932003的博客
10-09 229
https://www.cnblogs.com/fanfan-90/category/1680969.html.NET Core认证授权 jwt token 过期刷新_ASP.NET Core 应用JWT进行用户认证及Token的刷新https://blog.csdn.net/weixin_39785970/article/details/111262316 https://www.cnblogs.com/fanfan-90/category/1598782.html.NET Core知识点 ...
asp.net Core 认证授权
weixin_30292843的博客
04-01 145
1.Cookie-based认证授权 2.JWT认证授权 3.Role based 授权 4.Claims-based授权 转载于:https://www.cnblogs.com/jhxk/articles/10636908.html
ASP.NET CORE MVC 认证授权(最简入门)
钅隼戋 ‘s Bolg
04-29 551
代码中,User.Identity.IsAuthenticated 作用就是判断是否登录认证过。登录后,显示“Logout”,点击后退出登录,并重定位到Index页面(控制器中体现)我前端页面采用了_Layout 布局,在布局的右上角有一个登录按钮,如果仅仅是登录后才可视,不分角色权限的话,控制器权限属性可以简单为。登录页面,一个空参数,用HttpGet ,保证登录页面可加载。未登录时,显示“Login”,点击后进入登录页面。另外,再创建一个控制器,用于取消登录。--以上,即完成了认证
ASP.NET Core 身份验证及鉴权
dijiaowu8633的博客
03-12 1252
本文转载至:https://www.cnblogs.com/wiseant/p/10515842.html ASP.NET Core 身份验证及鉴权 目录 项目准备 身份验证 定义基本类型和接口 编写验证处理器 实现用户身份验证 权限鉴定 思路 编写过滤器类及相关接口 实现属性注入 实现用户权限鉴定 测试 环...
一起谈.NET技术,ASP.NET中的认证授权
weixin_34177064的博客
09-02 120
  用户认证   .net提供了3种用户认证的方式,分别是Windows,Forms,Passport。这几种形式的定义可以在网站根目录下Web.config中的authentication节点中看见。Windows是默认的验证形式,它是根据机器的访问权限来判断的。Passport是微软提供的一种验证形式,不常用。我们需要的知道并了解的是forms形式。forms验证就是表单认证,提供了以身份id...
19 .net core 认证授权
dabusidede的博客
07-29 707
一、固定角色: 即把角色与具体的Controller或Action直接关联起来,整个系统中的角色是固定的,每种角色可以访问那些Controller或Action也是固定的,这做法比较适合小型项目,角色分工非常明确的项目。 public void ConfigureServices (IServiceCollection services) { services.AddMvc (); // 添加认证Cookie信息 services.AddAuthentication (Cookie
ASP.NET Core自定义认证授权搭建流程(使用JWT)
woshihedayu的博客
06-11 1565
return new Result < T >(ResultCode . SUCCESS , "成功" , data);return new Result(ResultCode.SUCCESS, "成功", data);这里面需要定义一个类,继承IAuthenticationHandler接口,并实现AuthenticateAsync、ChallengeAsync、ForbidAsync、InitializeAsync方法if (!else。
ASP.NET Core JWT授权认证详解与实战教程
本文将深入浅出地探讨ASP.NET Core中JWT(JSON Web Tokens)授权认证的流程原理。JWT是一种轻量级的身份验证机制,它利用一个包含用户信息的短令牌进行安全通信,适用于无状态的API和服务间交互。 首先,了解JWT的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值