ASP.NET Core 基于声明的访问控制到底是什么鬼?

最新推荐文章于 2022-10-15 19:33:01 发布
最新推荐文章于 2022-10-15 19:33:01 发布
阅读量353 收藏
点赞数
文章标签: jwt junit quartz css sms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30236895/article/details/108786901
版权

从ASP.NET 4.x到ASP.NET Core,内置身份验证已从基于角色的访问控制(RBAC)转变为基于声明的访问控制(CBAC)

我们常用的HttpContext.User属性ASP.NET 4.0时代是IPrincipal类型,ASP.NETCore现在强化为ClaimsPrincipal类型。

本文就一起来看看这难缠的、晦涩难懂的声明式访问控制。

1.Claims : 声明

声明是基于声明的身份验证(claims-based authentication)的基础,声明是某主题(Subject)的片段信息

声明是个名词,并不能说明主体可以做什么或不能做什么, 对应现实生活中各种卡片上体现的片段信息。
使用术语“主题”是因为声明不仅限于描述用户,声明可能与应用程序,服务或设备有关。

主题Claim1Claim2Claim3Claim3Claim5Claim6Claim7Claim8
身份证身份证号姓名性别籍贯生日签发机关签发时间过期时间
工作狗牌姓名级别花名身份证号性别base地区入职时间---
王者荣耀账号游戏等级大区角色氪金级别年龄注册时间---
微信微信号昵称注册时间国籍实名证件手机号------
车牌车牌编号车牌所属人车牌地区车牌性质签发时间签发机关------
某大保健会员卡卡号姓名手机号会员级别办卡时间办卡门店------

// 声明通过`System.Security.Claim`类表示
public class Claim {
  public string Type { get; }
  public string Value { get; }
  public string ValueType { get; }
  // some properties have been omitted.
}

对比可见:每个声明都有一个标识片段信息类型的Type属性、保存片段信息的Value属性、片段信息的数据类型。

var idClaim = new Claim(“Id”,“ 1”,“Integer”);        // 用户ID:整形
var dobClaim = new Claim(“dob”,“04/20/2000”,“Date”);  // 生日:事件类型
var emailClaim = new Claim(nameof(ClaimTypes.Name), mockUser.Email,nameof(ClaimValueTypes.String)),

2. Identities:身份

同一主题的声明组合在一起,称为ClaimsIdentity

对应现实生活中各种卡片:身份证、工作狗牌、车牌、大保健会员卡,均体现了某一个主题。

public class ClaimsIdentity {
  public string Name { get; }
  public IEnumerable<Claim> Claims { get; }
  public string AuthenticationType { get; }    // 保存使用的身份验证方法(Bearer、Basic)
  public bool IsAuthenticated { get; }
  // some properties have been omitted.
}

假设某WebAPI可通过其唯一ID和名称来识别用户。验证从用户收到的承载令牌(JWT等)后,我们可以创建ClaimsIdentity来表示它们:

ClaimsIdentity userIdentity = new ClaimsIdentity(
  new Claim[] {
    new Claim("Id", "1"),
    new Claim("Username", "Bert")
  },
  "Bearer"
);

//userIdentity.IsAuthenticated == true since we passed "Bearer" as AuthenticationType.

3. Principals: 主体

ClaimsIdentity可以方便地表示一个主题(一组声明),很多时候一个主体有多个身份,就像现实生活中我们有个身份卡片,这个时候我们就需要钱包或者账号管理工具(1Passwowd、LassPass),将各种身份集中在一起就是主体ClaimsPrincipal

接上面的例子, 如果WebAPI需要确保访客使用的设备处于白名单,则可以对访客维护设备身份

ClaimsIdentity deviceIdentity = new ClaimsIdentity(
  new Claim[] {
    new Claim("IP", "192.168.1.1"),
    new Claim("Agent", "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0")
  }
);
//  针对访客设备声明,不要设置AuthenticationType

主体对象代表代码运行的用户的安全上下文,是各种有效身份的组合。

public class ClaimsPrincipal {
  public IEnumerable<Claim> Claims { get; }
  public IEnumerable<ClaimsIdentity> { get; }
  public ClaimsIdentity Identity { get; }
  public virtual IEnumerable<Claim> FindAll(Predicate<Claim> match);
  public virtual bool HasClaim(string type, string value);
  // ClaimsPrincipal提供了一些辅助方法/属性来检查声明.
}

 var principal = new ClaimsPrincipal(new IIdentity[] { userIdentity, deviceIdentity });

总结

基于声明的身份验证是WebApp获取它们需要的组织内部、其他组织以及Internet上的用户的身份信息的常用方法。它还为本地或云中运行的应用程序提供了一致的方法。基于声明的身份验证将身份和访问控制的各个元素抽象为两个部分:声明的概念以及颁发者或授权机构的概念。[

  1. Claims: 身份信息的片段数据

  2. Identities:各种身份卡片

  3. Principals:主体,各种身份账户的集中存储地

阅读更多

更多精彩

扫码关注

有态度的马甲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 3971
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController中新建Login接口来获取Token。在appsettings.json中配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
使用JWTASP.NET CORE令牌身份验证和授权(无Cookie)——第2部分
寒冰屋的专栏
11-18 2549
目录 介绍 用户角色 如何创建自定义授权特性? AuthorizeAttribute AuthorizeFilter 如何在控制器和操作方法级别设置权限? 检查用户权限的扩展方法 如何在操作方法(内联代码)中检查权限? 如何控制视图页面内部的用户权限? 如何处理未授权的请求? 如何处理和身份验证/授权Ajax调用? 识别Ajax调用的扩展方法 在[UnAuthorized...
第21章 深入理解IsPersistent、IhttpContextAccessor和UseDefaultServiceProvider
zhoujian_911的专栏
03-03 5154
IsPersistent 微软通过定义2个通用的类及其属性来抽象的存储现实世界中证件的数据,从而为本地身份认证提供数据支撑这2个类分别是:Claim、ClaimsPrincipal。其中为了减少输入操作的失误的产生,微软又定义了ClaimTypes和ClaimValueTypes这两个类为Claim类提供一些常规且通用的数据支撑,所以这两个类都被限定为静态类且有默认的数据值。通过下面的图片你可以直观的理解这些类对实现世界事物抽象实现的逻辑关系 如果对上述的数据抽象实现有了深入的理解...
开源干货!!!.NET Core + Vue.js(iview-admin) 通用动态权限(RBAC)管理系统框架[DncZeus]开...
测试0901-1
12-21 1186
DncZeus 前言 关于 DncZeus DncZeus = Dnc + Zeus "Dnc"--.Net Core 的缩写; "Zeus"--中文译为宙斯,是古希腊神话中的众神之王,奥林匹斯十二主神之首,统治宇宙万物的至高无上的主神(在古希腊神话中主神专指宙斯),人们常用“众神和人类的父亲”、“神王”来称呼他,是希腊神话诸神中最伟大的神。 DncZe...
Asp.Net Core混合使用cookie和JwtBearer认证方案
weixin_34344677的博客
09-23 406
自己有时捣鼓一些小型演示项目,服务端主要是提供Web Api功能。为了便于管理,需要在服务端加一些简单的MVC网页,用管理员身份登录,做一些简单的操作。 因此需要实现一个功能,在一个Asp.Net Core网站里,MVC网页用cookie认证,Web Api用JwtBearer认证。虽然Identity Server 4可以实现多种认证方案,但是我觉得它太重了,想直接在网站内集成2种认证方案。在...
asp.net core 授权详解
10-15
ASP.NET Core 中,你可以使用 `[Authorize(Roles = "Role1, Role2")]` 属性来限制控制器或操作方法的访问权限。例如: ```csharp [Authorize(Roles = "Admin")] public class SampleDataController : Controller...
ASP.NET编程知识】asp.net core集成MongoDB的完整步骤.docx
05-15
ASP.NET Core 集成 MongoDB 的完整步骤 一、ASP.NET Core 和 MongoDB 简介 ASP.NET Core 是一个开源的、跨平台的、模块化的 web 应用程序框架,支持 HTTP/2、SPA 应用程序、微服务等多种开发模式。MongoDB 是一个...
ASP.NET-Core-2.2-官方教程.zip
08-10
Razor Pages是ASP.NET Core中用于构建UI的一种轻量级、声明式的编程模型。相比于传统的MVC模式,Razor Pages更适用于简单的CRUD操作,使得代码更加直观和简洁。 ### 六、身份认证与授权 ASP.NET Core 2.2提供了强大...
ASP.NET Core 3.1 JWT token实现与应用
04-25
**ASP.NET Core 3.1 JWT Token实现与应用** ASP.NET Core 3.1 是一个高性能、跨平台的开源框架,用于构建现代化的云就绪应用程序。JWT(JSON Web Token)是安全领域广泛采用的一种轻量级身份验证机制,常用于实现...
基于ASP.NET的教育管理系统源码.zip
最新发布
05-28
10. **ASP.NET Core**:ASP.NET CoreASP.NET的最新版本,它是跨平台的,可以在Windows、Linux和macOS上运行,并且集成了Kestrel服务器和中间件体系结构。 【教育管理系统】 教育管理系统是利用信息技术实现学校...
ASP.NET MVC4+EF6+Bootstrap3 通用后台管理系统(含权限)
06-27
框架使用场景:OA、ERP、BPM、CRM、WMS、TMS、MIS等业务管理系统及后台系统
.net core基于Oauth2+jwt两种方式实现身份认证(附单点登录)
xwnxwn的专栏
10-15 2011
securityKey明文,Java加密使用的是Base64返回的实体
使用HttpContext中的User属性来实现用户身份验证之用户验证票篇
爱莎居
01-16 2249
在我的上一篇《使用HttpContext中的User属性来实现用户身份验证》中已经讲了怎样来使用HttpContext.User属性来实现用户身份验证,并且还写了一个示例程序。但是,在上一篇文章中,我们使用的是系统缓存来保存用户的登录信息,这无疑是占用系统资源的一种做法,那有没有更好的办法呢?我在上一章中说过大家可以尝试使用用户验证票的方式来保存用户登录信息的,这种方式是基于Cookie原理来实现
使用ASP.NET Core、Ocelot、MongoDB和JWT的微服务
寒冰屋的专栏
08-27 678
目录 介绍 开发环境 技术 体系结构 源代码 微服务 API网关 客户端应用 单元测试 使用健康检查进行监视 如何运行应用程序 如何部署应用程序 进一步阅读 本文显示了一个使用ASP.NET Core,Ocelot,MongoDB和JWT的微服务体系结构的工作示例。本文介绍如何使用ASP.NET Core创建微服务,如何使用Ocelot创建API网关,如何使用MongoDB创建存储库,如何在微服务中处理JWT,如何使用xUnit和Moq对单元进行微服务测试,如何使用健康检查来监视
RBAC的资料
weixin_34216196的博客
03-10 140
利用 AOP 实现 .NET 上完整的基于角色的访问控制(RBAC)模型  作者:admin 日期:2006-11-30 一. 背景 .NET 平台上没有完整的 RBAC 机制,.NET 中的安全模型(代码访问安全性:CAS)只是实现到 Role 层次,没有细化到 Task 层次,ASP.NET 2.0 中的诸多安全机制,如 Membership、Web.Config 的...
netcore中使用HttpContext.Current
热门推荐
Hello World
01-11 1万+
新建HttpContext类 using Microsoft.AspNetCore.Builder; using Microsoft.AspNetCore.Http; using Microsoft.Extensions.DependencyInjection; using System; using System.Collections.Generic; using System.Text;...
快速理解ASP.NET Core的认证与授权
dotNET跨平台
01-04 1694
ASP.NET Core的认证与授权已经不是什么新鲜事了,微软官方的文档对于如何在ASP.NET Core中实现认证与授权有着非常详细深入的介绍。但有时候在开发过程中,我们也往往会感觉无从...
Asp.Net Core 中IdentityServer4 实战之角色授权详解
dotNET跨平台
03-31 576
一、前言前几篇文章分享了IdentityServer4密码模式的基本授权及自定义授权等方式,最近由于改造一个网关服务,也用到了IdentityServer4的授权,改造过程中发现比较适...
Spring Security安全框架入门篇
weixin_30421809的博客
02-04 845
一、Spring Security相关概念 1.1.、Spring Security介绍: Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架(简单说是对访问权限进行控制嘛)。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Con...
ASP.NET Core实战:基于Token的身份验证教程
"本文档主要介绍了如何在ASP.NET Core中实现基于Token的身份认证,特别是使用JwtSecurityTokenHandler来创建Bearer Token的实例。" 在ASP.NET Core中,身份验证机制的实现可以多样化,传统的Cookie和Session方式在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有态度的马甲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值