.NET 7 的认证与授权机制

于 2024-08-05 14:08:27 发布
阅读量890 收藏 8
点赞数 10
分类专栏: .NET 7入门到精通 文章标签: .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40998698/article/details/140925144
版权

在现代应用程序中,认证(Authentication)和授权(Authorization)是两个关键的安全性概念。认证是验证用户身份的过程,而授权则是在确认用户身份后,决定该用户是否有权访问特定资源或执行特定操作的过程。.Net 7 提供了丰富的工具和框架,来帮助开发者实现这两个重要的安全功能。

一、认证

认证是验证用户身份的过程,通常通过用户名和密码、OAuth、OpenID Connect 等方式实现。.Net 7 中,ASP.NET Core Identity 是一个强大的身份管理库,简化了这一过程。

1. ASP.NET Core Identity

ASP.NET Core Identity 是一个用于处理用户身份的库,它支持用户注册、登录、密码恢复、双因素认证等功能。要在 .Net 7 项目中使用 Identity,可以按照以下步骤进行配置:

  1. 安装包:

    dotnet add package Microsoft.AspNetCore.Identity.EntityFrameworkCore
dotnet add package Microsoft.EntityFrameworkCore.SqlServer

  2. 配置服务:
    在 Startup.cs 或 Program.cs 文件中,添加 Identity 相关服务:

    // 添加数据库上下文配置
services.AddDbContext<ApplicationDbContext>(options =>
    options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection")));

// 添加身份验证服务,并配置为使用 Entity Framework 存储
services.AddIdentity<ApplicationUser, IdentityRole>()
    .AddEntityFrameworkStores<ApplicationDbContext>()
    .AddDefaultTokenProviders();

  3. 配置中间件:
    在 Configure 方法中,添加认证中间件:

    // 使用身份验证中间件
app.UseAuthentication();
app.UseAuthorization();

  4. 用户模型:
    定义用户模型 ApplicationUser:

    // 用户模型,继承自 IdentityUser
public class ApplicationUser : IdentityUser
{
}

  5. 数据库上下文:
    创建数据库上下文 ApplicationDbContext:

    // 数据库上下文,继承自 IdentityDbContext
public class ApplicationDbContext : IdentityDbContext<ApplicationUser>
{
    public ApplicationDbContext(DbContextOptions<ApplicationDbContext> options)
        : base(options)
    {
    }
}

通过上述配置,ASP.NET Core Identity 就可以处理用户的注册和登录流程了。

2. JWT 认证

除了传统的 Cookie 认证,JWT(JSON Web Token)认证也是一种常见的认证方式,特别适用于无状态的 RESTful API。要在 .Net 7 中实现 JWT 认证,可以按以下步骤进行:

  1. 安装包:

    dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer

  2. 配置服务:
    在 Program.cs 文件中,添加 JWT 认证服务:

    // 配置 JWT 认证服务
services.AddAuthentication(options =>
{
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
    options.TokenValidationParameters = new TokenValidationParameters
    {
        ValidateIssuer = true,
        ValidateAudience = true,
        ValidateLifetime = true,
        ValidateIssuerSigningKey = true,
        ValidIssuer = Configuration["Jwt:Issuer"],
        ValidAudience = Configuration["Jwt:Audience"],
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"]))
    };
});

  3. 配置中间件:
    在 Configure 方法中,添加 JWT 认证中间件:

    // 使用身份验证和授权中间件
app.UseAuthentication();
app.UseAuthorization();

  4. 生成令牌:
    创建一个方法来生成 JWT 令牌:

    // 生成 JWT 令牌的方法
private string GenerateJwtToken(IdentityUser user)
{
    // 定义用户声明
    var claims = new[]
    {
        new Claim(JwtRegisteredClaimNames.Sub, user.UserName),
        new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString())
    };

    // 创建安全密钥
    var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"]));
    var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

    // 创建 JWT 令牌
    var token = new JwtSecurityToken(
        issuer: Configuration["Jwt:Issuer"],
        audience: Configuration["Jwt:Audience"],
        claims: claims,
        expires: DateTime.Now.AddMinutes(30),
        signingCredentials: creds);

    // 返回令牌字符串
    return new JwtSecurityTokenHandler().WriteToken(token);
}

二、授权

授权是在认证之后进行的,用于决定用户是否有权限访问某些资源。ASP.NET Core 提供了基于角色和基于策略的授权机制。

1. 基于角色的授权

基于角色的授权是最常见的授权方式之一。在 .Net 7 中,可以通过以下方式实现:

  1. 定义角色:
    可以在应用启动时创建角色:

    // 创建角色的方法
var roleManager = serviceProvider.GetRequiredService<RoleManager<IdentityRole>>();
string[] roleNames = { "Admin", "User" };

foreach (var roleName in roleNames)
{
    if (!roleManager.RoleExistsAsync(roleName).Result)
    {
        roleManager.CreateAsync(new IdentityRole(roleName)).Wait();
    }
}

  2. 分配角色:
    可以在用户注册时分配角色:

    // 用户注册时分配角色的方法
var user = new ApplicationUser { UserName = model.Email, Email = model.Email };
var result = await _userManager.CreateAsync(user, model.Password);

if (result.Succeeded)
{
    await _userManager.AddToRoleAsync(user, "User");
}

  3. 授权检查:
    在控制器或操作方法中使用 [Authorize] 属性进行授权检查:

    // 使用 [Authorize] 属性进行授权检查
[Authorize(Roles = "Admin")]
public IActionResult AdminOnly()
{
    return View();
}

2. 基于策略的授权

基于策略的授权更加灵活,适用于复杂的授权需求。可以通过以下步骤实现:

  1. 定义策略:
    在 Program.cs 文件中定义策略:

    // 定义策略
services.AddAuthorization(options =>
{
    options.AddPolicy("RequireAdmin", policy => policy.RequireRole("Admin"));
});

  2. 授权检查:
    在控制器或操作方法中使用 [Authorize] 属性进行授权检查:

    // 使用基于策略的授权检查
[Authorize(Policy = "RequireAdmin")]
public IActionResult AdminOnly()
{
    return View();
}

结论

通过 .Net 7 提供的工具和框架,开发者可以轻松地实现认证和授权功能。ASP.NET Core Identity 提供了强大的身份管理功能,而 JWT 认证则非常适合无状态的 RESTful API。基于角色和基于策略的授权机制,使得授权过程更加灵活和可控。在实现这些功能时,开发者应始终关注安全性,确保用户数据和系统资源的安全。

拾忆4377
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
7, 认证授权概述
weixin_44478828的博客
01-27 1019
在互联网中,我们每天都会使用到各种各样的APP和网站,在使用过程中通常还会遇到需要注册登录的情况,输入你的用户名和密码才能正常使用,也就是说成为这个应用的合法身份才可以访问应用的资源,这个过程就是认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。当然认证的方式有很多,常见的账号密码登录,手机验证码登录,指纹登录,刷脸登录等等。简单说: 认证就是让系统知道我们是谁。认证是为了保护身份的合法性,授权则是为了更细粒度的对数据进行划分,授权是在认证通过的前提下发生的。
快速理解ASP.NET Core的认证授权
dotNET跨平台
01-04 1708
ASP.NET Core的认证授权已经不是什么新鲜事了,微软官方的文档对于如何在ASP.NET Core中实现认证授权有着非常详细深入的介绍。但有时候在开发过程中,我们也往往会感觉无从...
Asp.NET认证授权
12-05
.net提供了3种用户认证的方式,分别是Windows,Forms,Passport。这几种形式的定义可以在网站根目录下Web.config中的authentication节点中看见。Windows是默认的验证形式,它是根据机器的访问权限来判断的。
ASP.NET Core 8.0 JWT认证授权
最新发布
weixin_44877917的博客
07-22 1405
在配置中调用AddPolicy来注册策略,在某些情况下,可能无法采用此方式注册所有策略,在这些情况下,可以使用自定义来控制如何提供授权策略,比如在运行时使用外部数据源中的信息策略确定授权要求。授权的主要方式,是通过Handler程序判断授权,需要实现接口。自定义一个实现自定义 Handler 程序继承并重写方法。实现策略提供的来动态添加策略。自定义返回自定义的响应增强默认质询或禁止响应。
[本周] 就来说说Asp.net 身份验证、授权
坚强2002@CSDN
08-06 672
 [本周]如约而至;时间是争取来的,这回的[本周]是把若干零碎的时间利用起来成文的,完成对Asp.net身份验证、访问授权等内容的梳理,可能漏掉的东西会比较多,漏掉的还是希望大家来补充。顺便说一下上次[本周]Ajax 那点事 题目我认为很平实很低调了,没料到还是被批评了,这回考虑一下用了一个白开水一样的题目,没有问题了吧?言归正传……观其大略:1.       Asp.net
.net中的认证授权(学习笔记)
weixin_34087301的博客
03-18 89
以前对这部分一直糊涂着,总算理理清楚了包名:System.Security.Principal:Identity:(识别)包装了已经验证过的用户名和认证的方式 主要成员:Name, IsAuthenticated, AuthenticationTypePrincipal: 当前代码的security上下文。包含Identity和Roles. 用于授权 主要成员:IsInRole, Identity...
.net中的认证(authentication)与授权(authorization)
weixin_33738578的博客
08-29 556
注:这篇文章主要给新手看的,老手们可能会觉得没啥营养,就请绕过吧。   “认证”与“授权”是几乎所有系统中都会涉及的概念,通俗点讲:   认证(authentication) 就是 "判断用户有没有登录?",好比windows系统,没登录就无法使用(不管你是用Administrator或Guest用户,总之要先正确登录后,才能进入系统). 授权(authorization) 就是"用...
.NET Core认证授权
qq_18932003的博客
10-09 228
https://www.cnblogs.com/fanfan-90/category/1680969.html.NET Core认证授权 jwt token 过期刷新_ASP.NET Core 应用JWT进行用户认证及Token的刷新https://blog.csdn.net/weixin_39785970/article/details/111262316 https://www.cnblogs.com/fanfan-90/category/1598782.html.NET Core知识点 ...
asp.net5中用户认证授权(2)
01-21
上篇文章给大家介绍了asp.net5中用户认证授权(1),基础建立好了,紧接着就要创建对基础类进行操作的类,也就是实现基础类的增删改查当然,为了使用asp.net5的认证机制,这些都是通过特定的接口来实现的。...
asp.net core 6 api简单授权认证
07-23
ASP.NET Core 6 API 简单授权认证是构建安全Web API的重要环节,它确保只有经过验证的用户或服务能够访问敏感数据或执行特定...此外,还可以查阅官方文档和社区资源,进一步学习如何根据实际需求定制和扩展授权机制
ASP.NET MVC5认证授权实例
08-25
通过这个实例,开发者不仅可以学习到如何在ASP.NET MVC5中实现实现基本的认证授权,还能理解如何将安全机制集成到实际项目中,确保应用程序的安全性。同时,了解如何利用角色进行更细粒度的权限控制,有助于提升...
asp.net5中的用户认证授权(1)
01-21
但是,要理解这么一大堆关于认证授权的类,或者想按照自己项目的特定要求对认证授权进行定制,确实很头疼。为了解决这个问题,需要从根本上理解认证授权机制,不过这不是个简单的事情,一些概念也比较抽象,为了...
.NET应用程序实现身份验证和授权
wangnanofspirit的博客
05-12 492
.NET应用程序中实现身份验证(Authentication)和授权(Authorization)的常见方法通常依赖于多种技术和框架,这些技术和框架共同确保了应用程序的安全性。
.net 下的身份认证授权的实现
鸡毛掸子
06-07 1400
授权有这三种类型简单授权:只要登录就能访问,在Controller或者Action上加个[Authorize]就行基于角色的授权:特定角色能访问基于策略的授权:顾名思义基于角色的授权.另外一个问题就是在实际编程过程中,我们的代码有不同的模式,不同的分层或者在不同的项目之中,如何在不同的地方取得用户信息,特别是业务系统,根据操作员的id来处理不同的业务权限逻辑,这是很多业务应用所关心的。这里所说的基本概念,是微软框架下的技术概念,对于一些通识的概念,比如以下内容,假定对这些都是熟悉的,
ASP.NET Core:认证授权
子昊
01-27 3493
认证 认证是安全体系的第一道屏障。当访问者的请求进入的时候,认证体系通过验证对方提供的凭证来确定它的真实身份。认证体系只有在证实了访问者的真实身份之后才允许它进入。.NET Core提供了多种认证方式。但是它们的实现都是一样的。都是基于同一个认证模型的。 ASP.NET Core的认证功能是通过内置的一个认证组件来提供的。这个组件在处理分发给它的请求时会按照指定的认证方案从请求中提取能够验证用户真实身份的数据。我们一般把这种数据称为安全令牌。在ASP.NET Core应用下的安全令牌也叫做认证票据。
ASP.NET(十七)---身份认证授权
-_^汪洸*的博客
05-15 565
身份认证授权身份认证授权身份认证与Session基于Session保存用户状态不足之处ASP.NET身份验证Forms验证FormsAuthentication类实现Forms验证用户注销Authorize特性实现授权Authorize特性总结Authorize实现高级授权 身份认证授权 身份认证的含义:例如在现在浏览的某宝电商网站中会经常遇到的情况,想要将某件商品加入到购物车,点击“加入购物车”之后弹出的却是登录界面。这个就是所谓的请求的身份认证 身份认证与Session 基于Session保存用户
.Net6使用JWT认证授权
黄瓜炒鸡蛋的博客
03-07 1943
.NetCore6.0 实现JWT认证授权鉴权
(精华)2020年9月25日 微服务 身份验证、授权(Ocelot+IdentityServer4)
热门推荐
时光隧道
09-06 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拾忆4377

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值