Asp.Net Core 2.0的认证和授权

最新推荐文章于 2024-07-26 23:06:11 发布
最新推荐文章于 2024-07-26 23:06:11 发布
阅读量5.2k 收藏 6
点赞数 2
分类专栏: Asp.Net Core

转自:https://www.cnblogs.com/axzxs2001/p/7482771.html 

 

在asp.net core中,微软提供了基于认证(Authentication)和授权(Authorization)的方式,来实现权限管理的,本篇博文,介绍基于固定角色的权限管理和自定义角色权限管理,本文内容,更适合传统行业的BS应用,而非互联网应用。

在asp.net core中,我们认证(Authentication)通常是在Login的Post Action中进行用户名或密码来验证用户是否正确,如果通过验证,即该用户就会获得一个或几个特定的角色,通过ClaimTypes.Role来存储角色,从而当一个请求到达时,用这个角色和Controller或Action上加的特性 [Authorize(Roles = "admin,system")]来授权是否有权访问该Action。本文中的自定义角色,会把验证放在中间件中进行处理。

 一、固定角色:

即把角色与具体的Controller或Action直接关联起来,整个系统中的角色是固定的,每种角色可以访问那些Controller或Action也是固定的,这做法比较适合小型项目,角色分工非常明确的项目。

项目代码:

https://github.com/axzxs2001/Asp.NetCoreExperiment/tree/master/Asp.NetCoreExperiment/%E6%9D%83%E9%99%90%E7%AE%A1%E7%90%86/RolePrivilegeManagement

始于startup.cs

需要在ConfigureServices中注入Cookie的相关信息,options是CookieAuthenticationOptions,关于这个类型提供如下属性,可参考:https://docs.microsoft.com/en-us/aspnet/core/security/authentication/cookie?tabs=aspnetcore2x

 

它提供了登录的一些信息,或登录生成Cookie的一些信息,用以后

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();
    //添加认证Cookie信息
    services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
     .AddCookie(options =>
     {
        options.LoginPath = new PathString("/login");
        options.AccessDeniedPath = new PathString("/denied");
     });
}
12 
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
        app.UseBrowserLink();
    }
    else
    {
        app.UseExceptionHandler("/Home/Error");
    }
    app.UseStaticFiles();
    //验证中间件
    app.UseAuthentication();
    app.UseMvc(routes =>
    {
        routes.MapRoute(
        name: "default",
        template: "{controller=Home}/{action=Index}/{id?}");
    });
}

HomeController.cs

对于Login Get的Action,把returnUrl用户想要访问的地址(有可能用户记录下想要访问的url了,但系统会转到登录页,登录成功后直接跳转到想要访问的returnUrl页)

对于Login Post的Action,验证用户密和密码,成功能,定义一个ClaimsIdentity,把用户名和角色,和用户姓名的声明都添回进来(这个角色,就是用来验证可访问action的角色 )作来该用户标识,接下来调用HttpContext.SignInAsync进行登录,注意此方法的第一个参数,必需与StartUp.cs中services.AddAuthentication的参数相同,AddAuthentication是设置登录,SigninAsync是按设置参数进行登录

对于Logout Get的Action,是退出登录

HomeController上的[Authorize(Roles=”admin,system”)]角色和权限的关系时,所有Action只有admin和system两个角色能访问到,About上的[Authorize(Roles=”admin”)]声明这个action只能admin角色访问,Contact上的[Authorize(Roles=”system”)]声明这个action只能system角色访问,如果action上声明的是[AllowAnomymous],说明不受授权管理,可以直接访问。

using System;
using System.Collections.Generic;
using System.Diagnostics;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
using RolePrivilegeManagement.Models;
using System.Security.Claims;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.Cookies;
using Microsoft.AspNetCore.Authorization;

namespace RolePrivilegeManagement.Controllers
{
[Authorize(Roles = "admin,system")]
public class HomeController : Controller
{
    public IActionResult Index()
    {
        return View();
    }
    [Authorize(Roles = "admin")]
    public IActionResult About()
    {
        ViewData["Message"] = "Your application description page.";
        return View();
    }
    [Authorize(Roles = "system")]
    public IActionResult Contact()
    {
        ViewData["Message"] = "Your contact page.";
        return View();
    }
    public IActionResult Error()
    {
        return View(new ErrorViewModel { RequestId = Activity.Current?.Id ?? HttpContext.TraceIdentifier });
    }
    [AllowAnonymous]
    [HttpGet("login")]
    public IActionResult Login(string returnUrl = null)
    {
        TempData["returnUrl"] = returnUrl;
        return View();
    }
    [AllowAnonymous]
    [HttpPost("login")]
    public async Task<IActionResult> Login(string userName, string password, string returnUrl = null)
    {
        var list = new List<dynamic> {
        new { UserName = "gsw", Password = "111111", Role = "admin" },
        new { UserName = "aaa", Password = "222222", Role = "system" }
   };
   var user = list.SingleOrDefault(s => s.UserName == userName && s.Password == password);
   if (user!=null)
   {
        //用户标识
        var identity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme);
        identity.AddClaim(new Claim(ClaimTypes.Sid, userName));
        identity.AddClaim(new Claim(ClaimTypes.Name, user.Name));
        identity.AddClaim(new Claim(ClaimTypes.Role, user.Role));
        await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(identity));
        if (returnUrl == null)
        {
                returnUrl = TempData["returnUrl"]?.ToString();
        }
        if (returnUrl != null)
        {
            return Redirect(returnUrl);
        }
        else
        {
            return RedirectToAction(nameof(HomeController.Index), "Home");
        }
        }
        else
        {
                const string badUserNameOrPasswordMessage = "用户名或密码错误!";
                return BadRequest(badUserNameOrPasswordMessage);
        }
        }
        [HttpGet("logout")]
        public async Task<IActionResult> Logout()
        {
            await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);
            return RedirectToAction("Index", "Home");
        }
        [AllowAnonymous]
        [HttpGet("denied")]
        public IActionResult Denied()
        {
            return View();
        }
    }
}

前端_Layout.cshtml布局页,在登录成功后的任何页面都可以用@User.Identity.Name就可以获取用户姓名,同时用@User.Claims.SingleOrDefault(s=>s.Type== System.Security.Claims.ClaimTypes.Sid).Value可以获取用户名或角色。

 1    <nav class="navbar navbar-inverse navbar-fixed-top">
 2         <div class="container">
 3             <div class="navbar-header">
 4                 <button type="button" class="navbar-toggle" data-toggle="collapse" data-target=".navbar-collapse">
 5                     <span class="sr-only">Toggle navigation</span>
 6                     <span class="icon-bar"></span>
 7                     <span class="icon-bar"></span>
 8                     <span class="icon-bar"></span>
 9                 </button>
10                 <a asp-area="" asp-controller="Home" asp-action="Index" class="navbar-brand">RolePrivilegeManagement</a>
11             </div>
12             <div class="navbar-collapse collapse">
13                 <ul class="nav navbar-nav">
14                     <li><a asp-area="" asp-controller="Home" asp-action="Index">Home</a></li>
15                     <li><a asp-area="" asp-controller="Home" asp-action="About">About</a></li>
16                     <li><a asp-area="" asp-controller="Home" asp-action="Contact">Contact</a></li>
17                 </ul>
18                 <ul class="" style="float:right; margin:0;">
19                     <li style="overflow:hidden;">
20                         <div style="float:left;line-height:50px;margin-right:10px;">
21                             <span style="color:#ffffff">当前用户:@User.Identity.Name</span>
22                         </div>
23                         <div style="float:left;line-height:50px;">
24                             <a asp-area="" asp-controller="Home" asp-action="Logout">注销</a>
25                         </div>
26                     </li>
27                 </ul>
28             </div>
29         </div>
30     </nav>

现在可以用chrome运行了,进行登录页后F12,查看Network—Cookies,可以看到有一个Cookie,这个是记录returnUrl的Cookie,是否记得HomeController.cs中的Login Get的Action中代码:TempData["returnUrl"] = returnUrl;这个TempData最后转成了一个Cookie返回到客户端了,如下图:

输入用户名,密码登录,再次查看Cookies,发现多了一个.AspNetCore.Cookies,即把用户验证信息加密码保存在了这个Cookie中,当跳转到别的页面时,这两个Cookie会继续在客户端和服务传送,用以验证用户角色。

 

gx_up
关注
专栏目录
ASP.NET Core认证授权
子昊
01-27 3507
认证 认证是安全体系的第一道屏障。当访问者的请求进入的时候,认证体系通过验证对方提供的凭证来确定它的真实身份。认证体系只有在证实了访问者的真实身份之后才允许它进入。.NET Core提供了多种认证方式。但是它们的实现都是一样的。都是基于同一个认证模型的。 ASP.NET Core认证功能是通过内置的一个认证组件来提供的。这个组件在处理分发给它的请求时会按照指定的认证方案从请求中提取能够验证用户真实身份的数据。我们一般把这种数据称为安全令牌。在ASP.NET Core应用下的安全令牌也叫做认证票据。
ASP.NET Core 2.0 简介.pdf
08-02
在*** Core 2.0中,开发者还可以使用Entity Framework Core(EFCore)进行数据访问,这是一种轻量级、模块化和跨平台的.NET标准数据访问技术。 EFCore支持多种数据库系统,包括SQL Server、SQLite等。使用EFCore,...
asp.net core认证授权
weixin_34261739的博客
09-01 342
asp.net core中,微软提供了基于认证(Authentication)和授权(Authorization)的方式,来实现权限管理的,本篇博文,介绍基于固定角色的权限管理和自定义角色权限管理,本文内容,更适合传统行业的BS应用,而非互联网应用。在asp.net core中,我们认证(Authentication)通常是在Login的Post Action中进行用户名或密码来验证用户是否正确...
Asp .Net Core 系列:详解授权以及实现角色、策略、自定义三种授权和自定义响应
最新发布
程序人生
07-26 487
ASP.NET Core 中,授权(Authorization)是控制对应用资源的访问的过程。它决定了哪些用户或用户组可以访问特定的资源或执行特定的操作。授权通常与身份验证(Authentication)一起使用,身份验证是验证用户身份的过程,授权与身份验证相互独立, 但是,授权需要一种身份验证机制。身份验证是确定用户标识的一个过程。身份验证可为当前用户创建一个或多个标识。在底层,基于角色的授权和基于声明的授权均使用要求、要求处理程序和预配置的策略。这些构建基块支持代码中的授权评估的表达式。
19 .net core 认证授权
dabusidede的博客
07-29 706
一、固定角色: 即把角色与具体的Controller或Action直接关联起来,整个系统中的角色是固定的,每种角色可以访问那些Controller或Action也是固定的,这做法比较适合小型项目,角色分工非常明确的项目。 public void ConfigureServices (IServiceCollection services) { services.AddMvc (); // 添加认证Cookie信息 services.AddAuthentication (Cookie
.NetCore统一认证授权学习——Run(1)
世界既不黑也不白,而是一道精致的灰。
06-29 423
项目地址工具:vs2019及以上 SDK:Net5及以上 API测试工具:Postman
.NET Core认证授权
qq_18932003的博客
10-09 229
https://www.cnblogs.com/fanfan-90/category/1680969.html.NET Core认证授权 jwt token 过期刷新_ASP.NET Core 应用JWT进行用户认证及Token的刷新https://blog.csdn.net/weixin_39785970/article/details/111262316 https://www.cnblogs.com/fanfan-90/category/1598782.html.NET Core知识点 ...
Learning ASP.NET Core 2.0
06-07
Learning ASP.Net Core 2.0 Jason de Oliveira;Michel Bruchet; About This Book Get to grips with the new features and APIs introduced in ASP.NET Core 2.0 Leverage the MVC framework and Entity ...
使用Azure Active Directory和OpenID Connect在ASP.NET Core 2.0中进行身份验证和授权
04-05
总之,通过Azure AD和OpenID Connect,你可以为ASP.NET Core 2.0应用创建一个强大的、安全的身份验证和授权系统。这不仅可以确保用户的安全,还可以简化管理和扩展性,因为Azure AD可以轻松地集成到其他Microsoft...
ASP.NET编程知识】Amazing ASP.NET Core 2.0.docx
05-15
ASP.NET Core 2.0 是一个重要的更新,它在 ASP.NET Core 1.0 的基础上引入了许多改进和新特性,旨在提升开发效率和应用程序性能。本文将深入探讨 ASP.NET Core 2.0 的核心变化,包括SDK的更新、项目文件的变更以及...
基于.NetCore3.1系列 —— 认证授权方案之授权初识
gman344的博客
03-26 762
1.前言 回顾:认证授权方案之JwtBearer认证 在上一篇中,我们通过JwtBearer的方式认证,了解在认证时,都是基于Claim的,因此我们可以通过用户令牌获取到用户的Claims,在授权过程中对这些Claims进行验证,从而来判断是否具有获取或执行目标资源操作的权限。本章就来介绍一下 ASP.NET Core授权系统的简单使用。 2.说明 授权与身份认证是相互独立,但是,授权却需要一种身份验证机制,因此,身份验证可以为当前用户创建一个或多个标识,是确定用户真实身份的过程。而授权是根据标识确.
手把手教你AspNetCore WebApi认证授权的方法
12-16
前言 这几天小明又有烦恼了,之前给小红的接口没有做认证授权,直接裸奔在线上,被马老板发现后狠狠的骂了一顿,赶紧让小明把授权加上。赶紧Baidu一下,发现大家都在用JWT认证授权,这个倒是挺适合自己的。 什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 什么是JWT Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧
Asp.net Core 权限管理系统
03-02
技术路线 Asp.net Core Mvc EntityFrameworkCore Bootstrap AdminLTE PostgreSQL 实现功能 组织机构管理 角色管理 用户管理 功能管理 权限管理
详解.Net Core 权限验证与授权(AuthorizeFilter、ActionFilterAttribute)
10-17
主要介绍了.Net Core 权限验证与授权(AuthorizeFilter、ActionFilterAttribute),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
.net core使用Jwt授权验证
10-30
.net core使用Jwt授权验证,使用版本为.net core2.2,微软已经集成使用很方便
asp.net core mvc权限控制:在视图中控制操作权限
08-31
本文主要介绍了asp.net core mvc权限控制:在视图中控制操作权限。具有很好的参考价值,下面跟着小编一起来看下吧
Asp.net 身份验证、授权
08-13 991
1.       Asp.net是依存于IIS的一个服务,说到Asp.net的安全相关的话题当然要有一个整体上的思路:IIS接收—》IIS验证—》IIS授权---》ASP.net验证---》Asp.net授权---》资源返回给用户 IIS从网络上接收到一个HTTP WEB请求可以使用SSL技术来保证服务器的身份,此外SSL也可以提供一个安全通道来保护客户端和服务器端的机密数据的传送。IIS使用基本
一起谈.NET技术,ASP.NET中的认证授权
weixin_34177064的博客
09-02 119
  用户认证   .net提供了3种用户认证的方式,分别是Windows,Forms,Passport。这几种形式的定义可以在网站根目录下Web.config中的authentication节点中看见。Windows是默认的验证形式,它是根据机器的访问权限来判断的。Passport是微软提供的一种验证形式,不常用。我们需要的知道并了解的是forms形式。forms验证就是表单认证,提供了以身份id...
asp.net Core 认证授权
weixin_30292843的博客
04-01 143
1.Cookie-based认证授权 2.JWT认证授权 3.Role based 授权 4.Claims-based授权 转载于:https://www.cnblogs.com/jhxk/articles/10636908.html
ASP.NET Core 2.0 新特性详解
ASP.NET Core 2.0 是微软推出的一个新的Web开发框架,相比于之前的ASP.NET Core 1.0版本,ASP.NET Core 2.0带来了许多新的特性和改进,以下是本篇文章中所提到的知识点: 1. SDK 的变化:在 ASP.NET Core 2.0 中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值