整体记录一下asp.net core 认证和授权

已于 2022-09-15 15:08:01 修改
阅读量957 收藏 1
点赞数
分类专栏: .NET CORE& .NET&C# 技术栈学习 系统架构 文章标签: 开发语言 asp.net c# 后端
于 2022-09-13 15:34:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41872328/article/details/126834499
版权

使用asp.net core 开发应用系统过程中,基本上都会涉及到用户身份的认证,及授权访问控制,因此了解认证和授权流程也相当重要,下面通过分析asp.net core 框架中的认证和授权的源码来分析认证、授权的原理及认证和授权的关系。

认证是什么?

认证是应用系统识别当前访问者的身份的一个过程,当应用系统接收到浏览器的请求后,通常会根据请求中携带的一些用户的的关键信息来识别当前登录用户的身份,通过解析这些信息,对用户进行合法性校验并进行解密,如果校验通过,则表示认证通过,应用系统会将认证通过后的用户信息存储到Http请求上下文中,以便后续业务使用及授权流程中使用。

asp.net core中通常将认证信息加密后存储到cookie中,每次访问需要认证的页面时将这些cookie信息发送到应用系统,以便应用系统识别访问者的身份,也就是经典的Cookie认证。

需要注意的是:认证仅仅只是识别当前访问用户的身份,并不负责具体的访问权限控制逻辑,如不具备某个资源的访问权限返回403,未登录返回401等,这些均由授权流程来控制。

asp.net core 中负责认证流程的中间件是AuthenticationMiddleware 类以下是asp.net core 3.1 的源代码,可以看到,先遍历所有实现了IAuthenticationRequestHandler接口的认证方案,并调用IAuthenticationRequestHandler接口的HandleRequestAsync方法,如果认证通过,则不再继续往下执行,并且此时HttpContext.User已经包含认证后的用户信息,如果所有实现 IAuthenticationRequestHandler 接口的认证方案,都未能对当前访问用户进行身份认证,则使用默认的认证方案进行认证(也就是:GetDefaultAuthenticateSchemeAsync返回的认证方案),可以看到认证流程即使没能识别当前访问者的用户身份,也会继续执行下一个流程,(尾部:await _next(context);

public class AuthenticationMiddleware
{
	private readonly RequestDelegate _next;

	public IAuthenticationSchemeProvider Schemes
	{
		get;
		set;
	}

	public AuthenticationMiddleware(RequestDelegate next, IAuthenticationSchemeProvider schemes)
	{
		if (next == null)
		{
			throw new ArgumentNullException("next");
		}
		if (schemes == null)
		{
			throw new ArgumentNullException("schemes");
		}
		_next = next;
		Schemes = schemes;
	}

	public async Task Invoke(HttpContext context)
	{
		context.Features.Set((IAuthenticationFeature)new AuthenticationFeature
		{
			OriginalPath = context.Request.Path,
			OriginalPathBase = context.Request.PathBase
		});
		IAuthenticationHandlerProvider handlers = 
                          context.RequestServices.
                          GetRequiredService<IAuthenticationHandlerProvider>();
		foreach (AuthenticationScheme item in await Schemes.GetRequestHandlerSchemesAsync())
		{
			IAuthenticationRequestHandler authenticationRequestHandler = 
                                                (await handlers.
                                                GetHandlerAsync(context, item.Name))
                                                 as IAuthenticationRequestHandler;
			bool flag = authenticationRequestHandler != null;
			if (flag)
			{
				flag = await authenticationRequestHandler.HandleRequestAsync();
			}
			if (flag)
			{
				return;
			}
		}
                
		AuthenticationScheme authenticationScheme = 
                                        await Schemes.
                                              GetDefaultAuthenticateSchemeAsync();
		if (authenticationScheme != null)
		{
                        //内部调用IAuthenticationService进行认证。
			AuthenticateResult authenticateResult = 
                                     await context.
                                     AuthenticateAsync(authenticationScheme.Name);
			if (authenticateResult?.Principal != null)
			{
				context.User = authenticateResult.Principal;
			}
		}
		await _next(context);
	}
}

授权是什么?

授权是确定当前访问用户是否具备访问某个系统资源权限的过程,对于需要授权才能访问的系统资源,通常通过[Authorize]特性来标识,通过该特性,可以指定该资源需要哪个用户角色才能访问、必须符合哪个授权策略才能访问,以及访问该资源时采用的用户认证方案是什么,当用户访问系统的某个API或者页面时,授权流程会检查当前用户是否具备该API或者页面的访问权限,如果授权检查失败,那么会判断当前用户是否已经认证通过,如果认证通过,但无访问该资源的权限,那么返回403(禁止访问),如果未认证,那么直接返回401(未认证),表示需要用户登录认证后在进行访问,需要注意的是:检查是否具备访问权限之前会先进行用户身份的认证,至于用什么认证方案就看AuthorizeAttribute有没有指定特定的认证方案,如果没有,则直接采用认证流程的认证成功的身份信息。

asp.net core 中,授权流程的执行是通过AuthorizationMiddleware类来完成的,以下是asp.net core 3.1中的源码。

public class AuthenticationMiddleware
{
	private readonly RequestDelegate _next;

	public IAuthenticationSchemeProvider Schemes
	{
		get;
		set;
	}

	public AuthenticationMiddleware(RequestDelegate next, IAuthenticationSchemeProvider schemes)
	{
		if (next == null)
		{
			throw new ArgumentNullException("next");
		}
		if (schemes == null)
		{
			throw new ArgumentNullException("schemes");
		}
		_next = next;
		Schemes = schemes;
	}

	public async Task Invoke(HttpContext context)
	{
		context.Features.Set((IAuthenticationFeature)new AuthenticationFeature
		{
			OriginalPath = context.Request.Path,
			OriginalPathBase = context.Request.PathBase
		});
		IAuthenticationHandlerProvider handlers =             
                   context.RequestServices.
                   GetRequiredService<IAuthenticationHandlerProvider>();
		foreach (AuthenticationScheme item in await Schemes.GetRequestHandlerSchemesAsync())
		{
			IAuthenticationRequestHandler authenticationRequestHandler = 
                    (await handlers.GetHandlerAsync(context, item.Name))
                     as IAuthenticationRequestHandler;
			bool flag = authenticationRequestHandler != null;
			if (flag)
			{
				flag = await authenticationRequestHandler.HandleRequestAsync();
			}
			if (flag)
			{
				return;
			}
		}
                
		AuthenticationScheme authenticationScheme = await Schemes.GetDefaultAuthenticateSchemeAsync();
		if (authenticationScheme != null)
		{
             //内部调用IAuthenticationService进行认证。
			AuthenticateResult authenticateResult = await context.AuthenticateAsync(authenticationScheme.Name);
			if (authenticateResult?.Principal != null)
			{
				context.User = authenticateResult.Principal;
			}
		}
		await _next(context);
	}
}

IPolicyEvaluator接口实现类 PolicyEvaluator类代码如下,该类主要是负责授权流程中的认证和授权。

// Microsoft.AspNetCore.Authorization.Policy.PolicyEvaluator
using System;
using System.Security.Claims;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Authorization.Policy;
using Microsoft.AspNetCore.Http;
using Microsoft.Extensions.Internal;

public class PolicyEvaluator : IPolicyEvaluator
{
	private readonly IAuthorizationService _authorization;

	public PolicyEvaluator(IAuthorizationService authorization)
	{
		_authorization = authorization;
	}

	public virtual async Task<AuthenticateResult> AuthenticateAsync(AuthorizationPolicy policy, HttpContext context)
	{
             //这里去判断当前资源是否有要求特定的认证方案进行认证,如果有指定特定的认证方案
             //则分别对每个认证方案进行认证,并把认证后的用户信息进行合并
             //最终存储到HttpContext.User属性中,并返回认证成功,如果没有指定认证方案
             //则使用认证流程中已经认证的用户信息作为认证结果返回,
            //从这里可以看出,认证流程还是很有必要的,在资源没有指定认证方案的前提下
            //认证流程为授权流程提供当前访问者的身份信息
            //以便执行是否具备相应资源的访问权限检查
            //否则就直接进入Challenge流程将要求用户先进行身份认证了
		if (policy.AuthenticationSchemes != null && policy.AuthenticationSchemes.Count > 0)
		{
			ClaimsPrincipal newPrincipal = null;
			foreach (string authenticationScheme in policy.AuthenticationSchemes)
			{
				AuthenticateResult authenticateResult = await context.AuthenticateAsync(authenticationScheme);
				if (authenticateResult != null && authenticateResult.Succeeded)
				{
					newPrincipal = SecurityHelper.MergeUserPrincipal(newPrincipal, authenticateResult.Principal);
				}
			}
			if (newPrincipal != null)
			{
				context.User = newPrincipal;
				return AuthenticateResult.Success(new AuthenticationTicket(newPrincipal, string.Join(";", policy.AuthenticationSchemes)));
			}
			context.User = new ClaimsPrincipal(new ClaimsIdentity());
			return AuthenticateResult.NoResult();
		}
		return (context.User?.Identity?.IsAuthenticated).GetValueOrDefault() ? AuthenticateResult.Success(new AuthenticationTicket(context.User, "context.User")) : AuthenticateResult.NoResult();
	}
        //resource为EndPoint对象。
	public virtual async Task<PolicyAuthorizationResult> AuthorizeAsync(AuthorizationPolicy policy, AuthenticateResult authenticationResult, HttpContext context, object resource)
	{
		if (policy == null)
		{
			throw new ArgumentNullException("policy");
		}
                //这里调用IAuthorizationService.AuthorizeAsync方法进行授权检查
                //默认实现类为:DefaultAuthorizationService。
		if ((await _authorization.AuthorizeAsync(context.User, resource, policy)).Succeeded)
		{
			return PolicyAuthorizationResult.Success();
		}
                //下面这句表示如果授权检查失败的情况下是进入Forbid流程还是进入Challenge流程
                //可以看到如果认证成功,那么表示无权限访问进入Forbid流程。
                //如果未认证,则进入Challenge流程,引导用户登录认证。
		return authenticationResult.Succeeded ? PolicyAuthorizationResult.Forbid() : PolicyAuthorizationResult.Challenge();
	}
}

认证和授权的关系?

授权检查之前都会先执行用户身份的认证,不过这里的认证流程只有在被访问的资源有指定特定的认证方案时才会执行,否则直接采用统一认证流程中的产生的认证信息。

可以理解为认证流程一方面是为了告诉应用系统当前访问者的身份,一方面是为了给授权检查时识别用户的身份信息,当资源没有指定采用何种认证方案时,授权流程将会采用统一认证流程里认证通过产生的用户信息,如果不启用认证流程,并且被访问的资源也没有指定特定的认证方案对访问者身份进行认证时,那么最终访问该资源时还是会被要求先登录认证,因此认证流程的另外一个用途就是为授权流程提供默认的用户认证信息。

总结起来说,

认证流程主要有如下几个作用:

  1. 识别系统访问者的身份信息,认证通过后提供给后续业务使用。
  2. 给授权流程提供访问者身份信息(资源没有指定特定认证方案时,采用默认认证方案认证通过的用户信息)。
  3. 实现授权失败后的处理逻辑,比如授权检查失败后返回的 401(未认证),403(禁止访问)等最终都是认证方案的 ChallegeAsync方法以及ForbidAsync方法来处理,这些方法是IAuthenticationHandler里面定义的,这些流程在授权失败为401/403的时候分别被授权流程调用。

授权流程主要如下几个作用:

  1. 授权流程主要是检查当前用户是否具备指定资源的访问权限,如果授权检查失败,如401(未认证),403(禁止访问),那么最终会分别调用认证方案的ChallegenAsync和ForbidAsync方法,也就是说,授权流程侧重于授权失败后的流程控制。
  2. 授权流程另外一个主要的任务是检查授权策略是否均能检验通过,如果一个资源通过AuthorizeAttribute的Policy属性指定了一个或者多个授权策略,那么必须所有授权策略都验证通过才算授权成功,如果未指定授权策略,那么就验证默认的授权策略是否能检验通过,默认的授权策略则是要求必须用户认证通过才允许访问资源。

授权流程本质上就是遍历所有注入到容器中的IAuthorizationHandler(微软默认在AddAuthorization的时候向容器注入了:PassThroughAuthorizationHandler,这个授权处理程序遍历AuthorizationHandlerContext.Requirements中所有实现了IAuthorizationHandler的Requirement类,并调用其HandleAsync方法来检查当前Requirement是否能校验通过),并对访问指定资源所要满足的所有策略中包含的Requirement进行验证,如果所有策略包含的Requirement都验证通过,那么表示授权成功,这里的Requirement是指实现了IAuthorizationRequirement的类,这个接口是一个空接口,用于标记Requirement使用。

Phil Arist
关注
专栏目录
.NET 8 深度解析:全面掌握认证Authentication)组件
hy_4377的博客
08-13 865
在 .NET 8 中,认证是指验证与您的应用程序交互的用户或系统的身份的过程。认证成功后,系统可以根据用户的角色或声明(claims)来授权其访问特定资源。如果内置的认证处理程序不能满足你的需求,你可以通过继承 AuthenticationHandler 并实现必要的方法来创建自定义处理程序。
ASP.NET Core认证授权
子昊
01-27 3528
认证 认证是安全体系的第一道屏障。当访问者的请求进入的时候,认证体系通过验证对方提供的凭证来确定它的真实身份。认证体系只有在证实了访问者的真实身份之后才允许它进入。.NET Core提供了多种认证方式。但是它们的实现都是一样的。都是基于同一个认证模型的。 ASP.NET Core认证功能是通过内置的一个认证组件来提供的。这个组件在处理分发给它的请求时会按照指定的认证方案从请求中提取能够验证用户真实身份的数据。我们一般把这种数据称为安全令牌。在ASP.NET Core应用下的安全令牌也叫做认证票据。
深入剖析ASP.NET Core中的身份验证与授权:构建安全可靠的Web应用
最新发布
qq_43535970的博客
08-23 1321
在现代Web应用开发中,身份验证与授权是确保应用程序安全的基石。本文将深入探讨ASP.NET Core中的身份验证与授权机制,涵盖从传统Cookie认证到现代化JWT认证的详细实现,并通过策略授权等高级功能帮助你构建更加安全、灵活的Web应用程序。无论你是开发前端应用还是API接口,这篇文章都将为你提供全面的解决方案。
asp.net core认证授权
weixin_34261739的博客
09-01 351
asp.net core中,微软提供了基于认证Authentication)和授权Authorization)的方式,来实现权限管理的,本篇博文,介绍基于固定角色的权限管理和自定义角色权限管理,本文内容,更适合传统行业的BS应用,而非互联网应用。在asp.net core中,我们认证Authentication)通常是在Login的Post Action中进行用户名或密码来验证用户是否正确...
快速理解ASP.NET Core认证授权
dotNET跨平台
01-04 1715
ASP.NET Core认证授权已经不是什么新鲜事了,微软官方的文档对于如何在ASP.NET Core中实现认证授权有着非常详细深入的介绍。但有时候在开发过程中,我们也往往会感觉无从...
asp.net core 5.0 身份验证与授权 demo
01-05
使用visual studio 2019 创建的 asp.net core 5.0 web application 项。 startup类中注册使用Authentication和Authorization中间件服务,在controller或action中使用AuthorizeAttribute和AllowAnonymousAttribute控制访问权限。 详见代码,都有注释。
Asp.Net Core 认证授权
Marzlam的博客
08-06 729
首先来弄清认证Authentication) 授权Authorization) 生活举例:去澡堂洗澡,花钱之后给个澡牌,这就叫认证,拿着澡牌就可以进行澡堂的大厅里了,之后 男的去 男澡堂,女的去女澡堂,这就叫权限。 花钱在程序中 就是 登录,澡牌就是 Token 令牌也好标识也好都可以这么理解。 一般认证授权都是结合使用,不过你要是开了一个 男女混合澡堂不需要男女分开权限得需求也不是不可(滑稽~~言之有理) 认证授权发展方式 发展 方式 ...
详解ASP.NET Core端点路由的作用原理
10-15
总的来说,ASP.NET Core端点路由提供了更强大和灵活的路由机制,它允许中间件更好地利用路由信息,提升了路由和中间件的解耦性,提高了整体架构的效率。通过合理配置`UseRouting`和`UseEndpoints`中间件,以及使用`...
基于ASP.net的培训咨询认证网站源码.zip
05-28
【标题】:“基于ASP.NET的培训咨询认证网站源码”是一个用于学习和实践的Web应用程序项目,它展示了ASP.NET框架在构建在线教育和咨询认证平台中的应用。该源码提供了完整的开发实例,可以帮助开发者理解ASP.NET的...
asp.net在线考试网站系统(数据库源码).rar
06-16
ASP.NET提供了身份验证和授权服务,可以轻松地处理用户的认证和权限控制。 2. **考试创建**:管理员可能能够创建、编辑和发布各种类型的考试,包括选择题、填空题、判断题等。ASP.NET MVC或Web Forms模式可以用来...
.NET/C# ⾯试题汇总系列:ASP.NET Core 005
Code365
07-10 181
创建一个自定义的中间件,捕获异常并处理。这样可以在请求管道中的任何位置进行全局异常处理。try// 处理异常,例如记录日志等// 返回自定义错误响应在ASP.NET Core中,服务的生命周期管理是通过依赖注入(DI)系统来实现的。ASP.NET Core支持三种主要的服务生命周期,每种生命周期都适用于不同的场景和需求。依赖注入(Dependency Injection,简称DI)是一种软件设计模式,旨在实现组件之间的松耦合。
第6章 .NET 8.0 ASP.NET Core图书管理系统:深入路由的世界
代数的博客
08-03 315
创建自定义路由策略来处理不同语言的URL,并根据用户的偏好或请求头中的信息来选择相应的路由。
asp.net Core 认证授权
weixin_30292843的博客
04-01 152
1.Cookie-based认证授权 2.JWT认证授权 3.Role based 授权 4.Claims-based授权 转载于:https://www.cnblogs.com/jhxk/articles/10636908.html
Asp.Net Core 中什么是认证授权
dotNET跨平台
02-09 294
认证Authentication) 和 授权Authorization)在 Asp.Net core 充当了两个不同的职责。有的老伙计在理解的时候还存在误解。本文我们将会通过一些简单的例子来说明这两个概念。认证Authentication)识别你是谁,授权Authorization)决定你能做什么 加入 A 用户现在通过浏览器想要访问时总的网站,这个时候我们需要知道他是谁,也就是认证。如果...
ASP.NET Core自定义认证授权搭建流程(使用JWT)
woshihedayu的博客
06-11 1609
return new Result < T >(ResultCode . SUCCESS , "成功" , data);return new Result(ResultCode.SUCCESS, "成功", data);这里面需要定义一个类,继承IAuthenticationHandler接口,并实现AuthenticateAsync、ChallengeAsync、ForbidAsync、InitializeAsync方法if (!else。
.NET Core认证授权
qq_18932003的博客
10-09 234
https://www.cnblogs.com/fanfan-90/category/1680969.html.NET Core认证授权 jwt token 过期刷新_ASP.NET Core 应用JWT进行用户认证及Token的刷新https://blog.csdn.net/weixin_39785970/article/details/111262316 https://www.cnblogs.com/fanfan-90/category/1598782.html.NET Core知识点 ...
ASP.NET CORE MVC 认证授权(最简入门)
钅隼戋 ‘s Bolg
04-29 575
代码中,User.Identity.IsAuthenticated 作用就是判断是否登录认证过。登录后,显示“Logout”,点击后退出登录,并重定位到Index页面(控制器中体现)我前端页面采用了_Layout 布局,在布局的右上角有一个登录按钮,如果仅仅是登录后才可视,不分角色权限的话,控制器权限属性可以简单为。登录页面,一个空参数,用HttpGet ,保证登录页面可加载。未登录时,显示“Login”,点击后进入登录页面。另外,再创建一个控制器,用于取消登录。--以上,即完成了认证
ASP.NET Core JWT授权认证详解与实战教程
总结来说,ASP.NET Core中的JWT授权认证流程涉及设置服务配置、启用验证中间件、客户端附带Token以及后端验证和错误处理。理解并掌握这一过程对于开发安全的API应用程序至关重要,它提供了简单而有效的用户身份验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值