在ASP.NET Identity 2.0中使用声明(Claims)实现用户组

最新推荐文章于 2024-04-07 15:56:05 发布
最新推荐文章于 2024-04-07 15:56:05 发布
阅读量1k 收藏
点赞数
分类专栏: CSharp.NET 架构及框架 文章标签: Identity 2.0 Claims 授权 身份验证
原文链接:https://www.codeproject.com/Tips/5276188/Implementing-User-Groups-using-Claims-in-ASP-NET-I
版权

目录

介绍

背景

使用代码

步骤1:数据库修改

步骤2:动作(Actions)储存

步骤3:分组控制动作

步骤4:授权验证“ClaimsAuthorizeAttribute”

第5步:声明分配

介绍

ASP.NET Identity是通过建立ASP.NET应用程序来对用户进行身份验证和授权的membershi系统。

服务器使用身份验证来确定谁正在访问其信息或网站。在身份验证中,用户或客户必须通过使用电子邮件和文字或使用各种社交提供程序登录来在Web服务器上证明其身份。

授权是一个过程,服务器通过该过程可以确定客户端在成功进行身份验证之后是否具有使用资源或访问文件的权限。

有关更多详细信息,请阅读原始文章

ASP.NET身份仅使用角色声明来实现授权,在某些应用程序中,如果您的业务逻辑需要额外的授权管理层(例如用户组),则您总是尝试从ASP.NET Identity上实现这一点,因为它们本身并不提供表格或方法来实现这一层。

背景

ASP.NET Identity本机提供了一个默认架构,您可以在其中添加任何扩展表作为以下架构:

使用代码

此实现包括以下步骤:

步骤1:数据库修改

当然,要引入用户组功能,您需要添加一些表来存储此信息。

在此实现中,我们只需要添加以下表格:

  1. tblGroups {PK_Id, Name}
  2. tblGroupActions {PK_Id, FK_Group, ActionName}
  3. tblUserGroups {PK_Id, FK_Group, FK_User}

但是tblActions呢在哪里?这就是技巧,将在下一节中说明。

步骤2:动作(Actions)储存

我的动作将存储在哪里?实际上,动作是在应用程序层中定义的,因此每次创建动作时,在某些表中添加动作条目都是多余的。

因此,如果我们创建了一个函数来检索应用程序中的所有动作,那么我们的工作就完成了。这可以通过以下功能实现:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Reflection;
using System.Threading.Tasks;
using System.Web;
using System.Web.Mvc;

namespace UserManagmentSystem.Controllers
{
    public class ImplementedMethods
    {
        public List ActiveMethods;

        public  ImplementedMethods()
        {
            var asm = Assembly.GetExecutingAssembly();
            ActiveMethods  = asm.GetTypes()
                .Where(type => typeof(Controller)
                    .IsAssignableFrom(type))
                .SelectMany(type => type.GetMethods())
                .Where(method => method.IsPublic
                    && !method.IsDefined(typeof(NonActionAttribute))
                    && (
                    method.CustomAttributes.Any
                           (s => s.AttributeType == typeof(HttpPostAttribute)) ||
                    method.CustomAttributes.Any
                           (s => s.AttributeType == typeof(HttpGetAttribute))
                    )
                    && (

                    !method.CustomAttributes.Any(s => s.AttributeType == 
                                                 typeof(AllowAnonymousAttribute))
                    )
                    && method.CustomAttributes.Any
                       (s => s.AttributeType == typeof(ClaimsAuthorizeAttribute))
                    && (
                        method.ReturnType == typeof(ActionResult) ||
                        method.ReturnType == typeof(Task) ||

                        method.ReturnType == typeof(String)                       
                        )
                    )
                .Select(m => m.CustomAttributes.FirstOrDefault
                       (s => s.AttributeType == typeof(HttpPostAttribute) || 
                        s.AttributeType == typeof(HttpGetAttribute)).
                        AttributeType.Name.Replace("Attribute", "") + " : " + 
                        m.DeclaringType.ToString().Split('.')[2].Replace
                        ("Controller", "") + "/" + m.Name).ToList();
        }
    }
}

先前功能的主要目标是检索所有控制器方法,这些方法是:

是由GETPOST装饰,而不是AllowAnonymousAttribute,并有一个自定义装饰ClaimsAuthorizeAttribute,以确保行动将被添加到池中,并且确保操作将检查登录用户的声明

步骤3:分组控制动作

现在,它很容易创建组到控制器AddEditDeleteDetailsAddActionRevokeAction}

using System;
using System.Collections.Generic;
using System.Data;
using System.Data.Entity;
using System.Linq;
using System.Net;
using System.Web;
using System.Web.Mvc;
using AccountingSystem.Models;
using Audit.Mvc;

namespace UserManagmentSystem.Controllers
{
    [Authorize]
  
    public class GroupsController : Controller
    {
        private AccountingdbEntities db = new AccountingdbEntities();

        // GET: Groups
        public ActionResult Index()
        {
            return View(db.tblGroups.ToList());
        }

        // GET: Groups/Details/5
        public ActionResult Details(int? id)
        {
            if (id == null)
            {
                return new HttpStatusCodeResult(HttpStatusCode.BadRequest);
            }
            tblGroups tblGroups = db.tblGroups.Find(id);
            if (tblGroups == null)
            {
                return HttpNotFound();
            }

            GroupsViewModel groupsViewModel = new GroupsViewModel();
            ImplementedMethods implementedMethods = new ImplementedMethods();
            groupsViewModel.Name = tblGroups.Name;
            groupsViewModel.PK_Id = tblGroups.PK_Id;
            groupsViewModel.Actions = tblGroups.tblGroupActions.Select
                                      (s => new ActionsViewModel
            {
                PK_Id = s.PK_Id,
                Name = s.ActionName
            }).ToList();
            groupsViewModel.Users = tblGroups.tblUserGroups.Select(s => new UsersViewModel
            {
                Id = s.AspNetUsers.Id,
                Name = s.AspNetUsers.UserName,
            OrdersConut =  db.tblOrderStatusHistory.Where
                (k => k.FK_User == s.AspNetUsers.Id && k.tblOrderStatus.IsFirst && 
                 k.tblOrderStatus.IsDefault).Count()
           
            }).ToList();
            ViewBag.AvailableActions = implementedMethods.ActiveMethods.Where
                  (t => !db.tblGroupActions.Any(k => k.FK_Group == id && 
                   k.ActionName == t)).Select(s => new SelectListItem 
                  { Value = s, Text = s }).ToList();

            return View(groupsViewModel);
        }

        [HttpPost]
        [ValidateAntiForgeryToken]
        public ActionResult RevokeAction(int GroupId, string ActionName)
        {
            tblGroupActions tblGroupActions = 
                   db.tblGroupActions.FirstOrDefault
                   (s=> s.FK_Group == GroupId && s.ActionName == ActionName);
            if (tblGroupActions!= null)
            {
                db.tblGroupActions.Remove(tblGroupActions);
                db.SaveChanges();
            }           

            return RedirectToAction("Details", new { id = GroupId });
        }

        [HttpPost]
        [ValidateAntiForgeryToken]
        public ActionResult AddAction(int GroupId, string ActionName)
        {
            tblGroupActions tblGroupActions = new tblGroupActions() 
                          { ActionName = ActionName, FK_Group = GroupId };
            if (tblGroupActions != null)
            {
                db.tblGroupActions.Add(tblGroupActions);
                db.SaveChanges();
            }

            return RedirectToAction("Details", new { id = GroupId });
        }

        [HttpPost]
        [ValidateAntiForgeryToken]
        public ActionResult RevokeUser(int GroupId, string UserId)
        {
            tblUserGroups tblUserGroups = db.tblUserGroups.FirstOrDefault
                               (s => s.FK_Group == GroupId && s.FK_User == UserId);
            if (tblUserGroups != null)
            {
                db.tblUserGroups.Remove(tblUserGroups);
                db.SaveChanges();
            }

            return RedirectToAction("Details", new { id = GroupId });
        }
    
        protected override void Dispose(bool disposing)
        {
            if (disposing)
            {
                db.Dispose();
            }
            base.Dispose(disposing);
        }
    }
}

步骤4:授权验证ClaimsAuthorizeAttribute”

通过应用此自定义AuthorizeAttribute,我们可以确保应用程序将检查CurrentUser声明是否具有此操作的声明。

关于身份声明和角色的妙处在于,在当前登录会话中,UserManager将用户声明和角色存储在内存中,因此无需每次都访问数据库来检查声明:

 

using System;
using System.Collections.Generic;
using System.Linq;
using System.Security.Claims;
using System.Web;
using System.Web.Mvc;

namespace UserManagmentSystem.Controllers
{
    public class ClaimsAuthorizeAttribute : AuthorizeAttribute
    {
        private string claimType;

        public ClaimsAuthorizeAttribute(string type)
        {
            this.claimType = type;
        }
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            var user = filterContext.HttpContext.User as ClaimsPrincipal;
            if (user != null && user.HasClaim(claimType, claimType))
            {
                base.OnAuthorization(filterContext);
            }
            else
            {
                base.HandleUnauthorizedRequest(filterContext);
            }
        }
    }
}

 

using System;
using System.Collections.Generic;
using System.Data;
using System.Data.Entity;
using System.Linq;
using System.Net;
using System.Web;
using System.Web.Mvc;

namespace UserManagmentSystem.Controllers
{
    [Authorize]
    
    public class CarriersController : Controller
    {
        [ClaimsAuthorize("HttpGet : Carriers/Index")]
        [HttpGet]
        public ActionResult Index()
        {
           //
        }

        [ClaimsAuthorize("HttpGet : Carriers/Details")]
        [HttpGet]
        public ActionResult Details(int? id)
        {
            //
        }

        [ClaimsAuthorize("HttpGet : Carriers/Create")]
        [HttpGet]
        public ActionResult Create()
        {
           //
        }

        [HttpPost]
        [ValidateAntiForgeryToken]
        [ClaimsAuthorize("HttpPost : Carriers/Create")]
        public ActionResult Create(Model)
        {
           //
        }       
    }
}

5步:声明分配

在此实现中,我们发现最好通过登录分配用户声明,因为tblGroupActions 表中的任何更改仅在登录后才会生效。

[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
    if (!ModelState.IsValid)
    {
        return View(model);
    }
    var user = UserManager.Find(model.Email, model.Password);
    if (user != null)
    {
        var UserClaim = user.Claims.AsEnumerable().ToList();

        foreach (IdentityUserClaim claim in UserClaim)
        {
            await UserManager.RemoveClaimAsync
                  (user.Id, new Claim(claim.ClaimType, claim.ClaimValue));

        }
        var UserClaims = db.tblGroupActions.AsEnumerable().Where
              (s => s.tblGroups.tblUserGroups.Any(l => l.FK_User == user.Id))
            .Select(k => new Claim(k.ActionName, k.ActionName)).ToList();

        foreach (Claim cliam in UserClaims)
        {
            await UserManager.AddClaimAsync(user.Id, cliam);
        }
    }
    // This doesn't count login failures towards account lockout
    // To enable password failures to trigger account lockout,
    // change to shouldLockout: true
    var result = await SignInManager.PasswordSignInAsync
      (model.Email, model.Password, model.RememberMe, shouldLockout: true);
    switch (result)
    {
        case SignInStatus.Success:

            return RedirectToLocal(returnUrl);
        case SignInStatus.LockedOut:
            return View("Lockout");
        case SignInStatus.RequiresVerification:
            return RedirectToAction("SendCode",
                   new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
        case SignInStatus.Failure:
        default:
            ModelState.AddModelError("", "Invalid login attempt.");
            return View(model);
    }
}

为特定组添加操作:

 

寒冰屋
关注
专栏目录
IdentityServer4 Identity Resource的user Claim
张峰的博客
02-06 2862
Identity Resource 身份资源,里面的UserClaims是用户的一些属性,默认情况下,即使写再多的属性,token也只会返回sub一个,我们需要在代码加入 var builder = services.AddIdentityServer() .AddInMemoryIdentityResources(Config.GetIdentit...
ASP.NET身份验证授权使用cookie和Claims认证
qq_44301896的博客
04-18 1315
本文基于asp.net core mvc(.net6)的项目。 配置 在Program.cs类 1、添加 AddAuthentication 和 AddCookie 方法的身份验证间件服务 var builder = WebApplication.CreateBuilder(args); //身份验证,设置身份验证方式为 Cookie 验证(网页应用程序只适合用 cookie) builder.Services.AddAuthentication(CookieAuthenticationDefault
MVC5 - ASP.NET Identity登录原理 - Claims-based认证和OWIN
weixin_33754913的博客
04-01 675
在Membership系列的最后一篇引入了ASP.NET Identity,看到大家对它还是挺感兴趣的,于是来一篇详解登录原理的文章。本文会涉及到Claims-based(基于声明)的认证,我们会详细介绍什么是Claims-based认证,它与传统认证方式的区别,以及它的特点。同时我们还会介绍OWIN (Open Web Interface for .NET) 它主要定义了Web Server...
ASP.NET Claims-based认证实现认证登录-claims基础知识
weixin_30681121的博客
10-10 156
claims-based认证这种方式将认证和授权与登录代码分开,将认证和授权拆分成另外的web服务。活生生的例子就是我们的qq集成登录,未必qq集成登录采用的是claims-based认证这种模式,但是这种场景,千真万确就非常适合claims-based认证。 Claims-based认证的主要特点: 将认证与授权拆分成独立的服务 服务调用者(一般是网站),不需要关注你如何去认证,你用W...
ASP.NET Identity简介及简单使用
weixin_34343689的博客
06-05 586
ASP.NET Identity简介标签:asp.netIdentitySecureWhy Identity?ASP.NETIdentity wasdesigned to solve site membership requirements.Reference:http://www.asp.net/identity一、Advantageof ASP.NetIdent...
详解ASP.NET Core 之 Identity 入门(一)
10-18
- **Claims声明)**:在*** Core Identity,一个Claim代表了用户的一个属性,通常是一个键值对,例如姓名、电子邮件等。每一个Claim都包含一个`ClaimType`和`ClaimValue`,分别代表键和值。在.NET Core,`...
管理系统系列--Identityserver4和Asp.net core Identity身份管理系统.zip
02-25
两者之间可以通过OAuth2或OpenID Connect进行通信,使得Asp.NET Core Identity的用户能够在IdentityServer4进行认证。 文件"kwan02251353"可能包含详细教程、示例代码、数据库脚本或配置文件,帮助开发者了解如何...
使用JWT 身份验证ASP.NET Core 构建安全的 REST API
qq_37757480的博客
09-28 227
介绍 在本文,我们使用JWT 身份验证ASP.NET Core 构建安全的 REST API 。我们从 JWT 的本质及其结构开始。 文章的第 1 - 4 节 解释了什么是 JWT 令牌、如何使用 .Net Core 设置它、安装所需的包、创建应用程序模型、迁移和更新数据库 第 5 - 9 节 重点介绍生成安全 JWT 令牌、使用和不使用生成的令牌进行安全调用以及注册用户。已使用 Postman 测试和触发 Web 请求以保护 API。 JWT 结构 请参阅下面的 JWT 令牌。它在下面被分解
ASP.NET Core:认证与授权
子昊
01-27 3550
认证 认证是安全体系的第一道屏障。当访问者的请求进入的时候,认证体系通过验证对方提供的凭证来确定它的真实身份。认证体系只有在证实了访问者的真实身份之后才允许它进入。.NET Core提供了多种认证方式。但是它们的实现都是一样的。都是基于同一个认证模型的。 ASP.NET Core的认证功能是通过内置的一个认证组件来提供的。这个组件在处理分发给它的请求时会按照指定的认证方案从请求提取能够验证用户真实身份的数据。我们一般把这种数据称为安全令牌。在ASP.NET Core应用下的安全令牌也叫做认证票据。
ASP.NET Core身份验证授权实现
ASP.NET Core 身份验证授权有着强大的支持和集成,使开发人员能够轻松实现各种身份验证授权策略。 ## 1.2 身份验证授权的基本概念 身份验证是确认用户身份的过程。通过验证用户提供的凭据(如用户名...
使用ASP.NET MVC对用户组的自定义授权
寒冰屋的专栏
05-17 760
目录 介绍 示例MVC应用程序进行演示 步骤1:在系统创建新的用户角色 创建一个管理员组并映射用户 创建用户组并映射用户 步骤2:创建项目 步骤3:在Web.config配置用户组 步骤4:添加枚举类 步骤5:添加登录视图模型 步骤6:添加授权过滤器 步骤7:添加授权助手类 步骤8:添加MVC控制器 LogInController.cs AdminController.cs UserController.cs 步骤9:添加MVC视图 LogIn.cshtml Admi
ASP.NET CORE[练习9]-Identity-Claim
修武FEN青
09-04 1285
练习+博客,量化自己的进步! Claim个人感觉与Roles用户角色非常的像,Claim管理与角色管理已经应用上都非常的像。可能我学的浅,还未深入了解其意。 1.claim管理 2.添加claim授权策略 3.应用 claim管理 与角色管理一样,增删改查,字段属性也不多。在功能实现上的区别是,角色是在角色管理给绑定多个用户,claim是在用户管理给用户分配多个claim。 ...
php 身份认证 claim,asp.net core cookie身份认证view视图读取/读取User.Claims的值实例...
weixin_34271305的博客
03-20 993
假设claim如下,q为查询出来的用户表结果集var claims = new List(){new Claim("UserId", q.Id.ToString()),new Claim(ClaimTypes.Name, q.UserName),new Claim(ClaimTypes.Role,q.UserGroup.GroupName),new Claim("RealName", q.Real...
identityserver mysql_IdentityServer4-从数据库获取User登录并对Claims授权验证(五)
weixin_33187773的博客
02-16 611
本节将在第四节基础上介绍如何实现IdentityServer4从数据库获取User进行验证,并对Claim进行权限设置。一、新建Web API资源服务,命名为ResourceAPI(1)新建API项目,用来进行user的身份验证服务。(2)配置端口为5001安装Microsoft.EntityFrameworkCore包安装Microsoft.EntityFrameworkCore.SqlServ...
asp.net identity 基础概念篇-理解什么是声明
weixin_30551963的博客
06-08 238
在具体介绍使用方法前,我们需要先了解几个概念: 1,claim:英文翻译过来是声明的意思,一个claim包含Type,Value两项信息。我把claim理解成一个权限的定义,比如Type=会员,Value=删除操作 2,Identity:表示用户的身份信息,比如用户名 3,Principal:我理解成认证票据,里面包含identity,claim信息。 4,Policy:英文翻译过来是政策...
C#-claims声明
最新发布
Bruce__taotao的博客
04-07 1220
C#学习系列,Claims可以在身份验证过程被创建和分配给用户,然后在应用程序用于授权和决策。
identity 基础表没有创建 aspnetuserclaims aspnetuserlogins
weixin_30295091的博客
07-26 159
identity 基础表没有创建 aspnetuserclaims aspnetuserlogins protected override void OnModelCreating(ModelBuilder modelBuilder) { base.OnModelCreating(modelBuilder);//! } ...
Asp.net Core, 基于 claims 实现权限验证 - 引导篇
TRQ15518590199的博客
02-22 394
什么是Claims? 这个直接阅读其他大神些的文章吧,解释得更好。 相关文章阅读: http://www.cnblogs.com/JustRun1983/p/4708176.html http://www.cnblogs.com/jesse2013/p/aspnet-identity-claims-based-authentication-and-owin.html http:...
定制Asp.NET 5 MVC内建身份验证机制 - 基于自建SQL Server用户/角色数据表的表单身份验证...
weixin_30678821的博客
12-21 358
背景 在需要进行表单认证的Asp.NET 5 MVC项目被创建后,往往需要根据项目的实际需求做一系列的工作对MVC 5内建的身份验证机制(Asp.NET Identity)进行扩展和定制: Asp.NET内建的身份验证机制会使用Local DB(本地数据库)读写用户相关的信息,而在数据库驱动的项目,管理业务信息的数据库通常是特定的数据库环境,比如远程SQL Server数据库实例或Acc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值