ASP.NET Core Identity系列之八

最新推荐文章于 2024-05-31 23:04:44 发布
最新推荐文章于 2024-05-31 23:04:44 发布
阅读量208 收藏
点赞数
文章标签: asp.net 后端 数据库
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654095733&idx=1&sn=c627bfd7cb545d789e9d5dc4dcfd0e09&chksm=80d86d20b7afe436d0183469f31af99f4a275032f155b278faafef727ad78769e026b86a359d&scene=126&sessionid=0
版权

这一节我们主要介绍在ASP.NET Core Identity中使用策略进行授权,Policy是用户必须具备一组集合为授权访问应用程序上的资源。Identity Policy的授权可以包含对用户的Role和Claim, 这有助于我们在应用程序中构建更丰富的授权结构

例如:我们创建一个名称为MIT的Identity Policy,该Policy包含3个必要条件:“高中成绩为A”,“18岁以下”,“美国国籍”。现在我们将这个策略应用到MIT门户网站的申请区域,只有这些学生才能申请研究生课程:

  • 高中毕业成绩为A

  • 18岁以下

  • 美国国籍

1、创建ASP.NET Core Identity 策略

我们在程序中创建Identity策略:

builder.Services.AddAuthorization(authorizationOptions =>
{
    authorizationOptions.AddPolicy("AspManager", authorizationPolicy =>
    {
        authorizationPolicy.RequireRole("Manager");
        authorizationPolicy.RequireClaim("Coding-Skill", "ASP.NET Core MVC");
    });
});

AspManager策略有两个必要条件:

  • 用户角色必须是Manager

  • 用户Claim类型是 Coding-Skill,Claim值是ASP.NET Core MVC

2、基于ASP.NET Core Identity 策略授权

我们可以把刚才创建的策略使用到任何的Controller和Action方法上,在应用程序中使用基于策略授权的特性,进入ClaimsController创建一个新的Project方法,将[Authorize(Policy = "AspManager")]特性应用到该方法上,代码如下:

[Authorize(Policy = "AspManager")]
public IActionResult Project() => View("Index", User.Claims);

现在,ASP.NET Core Identity 只授权下面用户访问Project方法:

  • 该用户属于Manager角色。

  • 该用户有Claim类型Coding-Skill和Claim值为ASP.NET Core MVC

下面是创建Policy比较重要的方法:

名称

描述

RequireUserName(name)

指定特定用户

RequireClaim(type, value)

用户需要有Claim类型和对应的值(值类型Param: params string[] 或者

Param: IEnumerable<string>)

RequireRole(roles)

用户必须是指定角色的成员。参数类型为:

Param: params string[] roles 或者

Param: IEnumerable<string> roles

AddRequirements(requirement)

指定一个客户自定义策略

3、测试Identity 策略授权

使用邮件:pintu@yahoo.com 密码:Coder77@1 进行测试,首先确认一下pintu是否属于Manager角色,如果不是,则添加,我们看到pintu属于Manager角色,但是没有Coding-Skill的Claim

362560b5581d671e0efb6e655f06ddbc.png

现在我们尝试访问一下ClaimsController的Project方法,

https://localhost:7296/Claims/Project. 我们会看到访问拒绝:

5c1e1dc123a1babf4cf563ec3417701a.png

因此我们需要给用户pintu添加一个类型是Coding-Skill和值是ASP.NET Core MVC的Claim。我们给pintu创建一个新的Claim ,URL为:https://localhost:7296/Claims/Create (看如下图片)

9be766116d8c47bc4651e0bdfd7f47a7.png

添加完之后,需要退出并且重新登录一下,我们进入如下URL

https//localhost:7296/Claims 。我们能看见最新添加的Claim

c73cb3fd10567a2cf590e84f8cb824c0.png

最后访问ClaimsController的Project方法,通过如下URL,https://localhost:7296/Claims/Project,这个时候我们能访问了,显示pintu用户下所有的Claims:

310ef74c95422033691c3574373a04f6.png

4、自定义Requirement策略授权

我们创建一个自定义策略,只允许Tom用户访问控制器的方法。如下所示:

  • 创建一个类实现IAuthorizationRequirement 接口,它内部提供了一种机制判断是否授权成功或失败

  • 创建一个实现 AuthorizationHandler类的子类,评估授权需求

我们在根目录下创建一个CustomPolicy文件夹,并在该文件夹下创建AllowUserPolicy.cs类。AllowUserPolicy.cs 类代码如下:

public class AllowUserPolicy : IAuthorizationRequirement
{
    public string[] AllowUsers { get; set; }
    public AllowUserPolicy(params string[] allowUsers)
    {
        AllowUsers=allowUsers;
    }
}

AllowUserPolicy类实现了IAuthorizationRequirement 接口并且通过构造函数参数获取到所有允许访问资源的用户,下面我们在CustomPolicy文件夹下创建另外一个类AllowUsersHandler.cs,代码如下:

public class AllowUsersHandler : AuthorizationHandler<AllowUserPolicy>
{
    public override Task HandleAsync(AuthorizationHandlerContext context)
    {
        return base.HandleAsync(context);
    }
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, AllowUserPolicy requirement)
    {
        if (requirement.AllowUsers.Any(user => user.Equals(context.User.Identity?.Name, StringComparison.OrdinalIgnoreCase)))
        {
            context.Succeed(requirement);
        }
        else
        {
            context.Fail();
        }
        return Task.CompletedTask;
    }

AllowUsersHandler授权Handler继承AuthorizationHandler类,当授权系统需要检查访问的Action时,HandleRequirementAsync()方法被调用,这个方法的参数接受AuthorizationHandlerContext 对象和AllowUserPolicy 类,AllowUserPolicy类提供了允许访问资源的用户。AuthorizationHandlerContext类主要成员如下:

名称

描述

Succeed(requirement)

如果请求满足要求,则调用此方法。该方法的参数是AllowUserPolicy对象

Fail()

如果请求不满足要求,则调用该方法

Resource

这个属性返回授权访问资源的一个对象

因此,在HandleRequirementAsync()方法内,我们检查是否当前登录用户是否在允许登录用户的列表内,如果是,我们调用Succeed方法,否则我们调用fail方法

现在我们创建一个Policy,发送一个允许的用户到AllowUserPolicy类我们使用AddRequirements(requirement)方法添加客户自自定义策略,代码如下:

builder.Services.AddTransient<IAuthorizationHandler,AllowUsersHandler>();
builder.Services.AddAuthorization(authorizationOptions =>
{
    authorizationOptions.AddPolicy("AspManager", authorizationPolicy =>
    {
        authorizationPolicy.RequireRole("Manager");
        authorizationPolicy.RequireClaim("Coding-Skill", "ASP.NET Core MVC");
    });
    authorizationOptions.AddPolicy("AllowTom", authorizationPolicy => 
    {
        authorizationPolicy.AddRequirements(new AllowUserPolicy("tom"));
    });
});

现在,我们将这个策略应用到Controller的方法上,我们在ClaimsController中添加一个TomFiles方法并在该方法上应用这个[Authorize(Policy = "AllowTom")]特性。看如下代码:

[Authorize(Policy = "AllowTom")]
public IActionResult TomFiles() => View("Index", User.Claims);

这个方法只能被tom的用户给调用。如果别的用户调用这个方法将调转到拒绝页面。使用Tom用户进行测试,输入https://localhost:

7296/Claims/TomFiles54b2abbddc186a9d58690ec4af069536.png

现在,我们使用pintu@yahoo.com进行登录, https://localhost:7296/Claims/TomFiles,将跳转到拒绝页面

c86855d3414eca7fcb37f776c661297f.png

5、不使用[Authorize]提交一个Policy

到目前为止我们可以给Control或者Controller的Action上使用[Authorize]策略,但是有些应用场景中我们不想使用[Authorize(Policy = "SomePolicy")]特性提交策略,你可以使用IAuthorizationService 接口来做,我们通过一个例子来了解一下,在CustomPolicy 目录下创建AllowPrivatePolicy.cs的类:

public class AllowPrivatePolicy : IAuthorizationRequirement
{
}
public class AllowPrivateHandler : AuthorizationHandler<AllowPrivatePolicy>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, AllowPrivatePolicy requirement)
    {
        string [] allowUsers = context.Resource as string[];
        if(allowUsers.Any(user=>user.Equals(context.User.Identity?.Name,StringComparison.OrdinalIgnoreCase)))
        {
            context.Succeed(requirement);
        }
        else
        {
            context.Fail();
        }
        return Task.CompletedTask;
    }
}

我们在应用程序的Program类中注册AuthorizationHandler,并创建一个新的策略叫PrivateAccess

builder.Services.AddTransient<IAuthorizationHandler, AllowUsersHandler>();
builder.Services.AddTransient<IAuthorizationHandler,AllowPrivateHandler>();
builder.Services.AddAuthorization(authorizationOptions =>
{
    authorizationOptions.AddPolicy("AspManager", authorizationPolicy =>
    {
        authorizationPolicy.RequireRole("Manager");
        authorizationPolicy.RequireClaim("Coding-Skill", "ASP.NET Core MVC");
    });
    authorizationOptions.AddPolicy("AllowTom", authorizationPolicy =>
    {
        authorizationPolicy.AddRequirements(new AllowUserPolicy("tom"));
    });
    authorizationOptions.AddPolicy("PrivateAccess", authorizationPolicy =>
    {
        authorizationPolicy.AddRequirements(new AllowPrivatePolicy());
    });
});

注意我们没有通过policy.AddRequirements(new AllowPrivate

Policy())传递任何参数到AllowPrivatePolicy类,相反我们通过Controller传递数据。最后,在ClaimsController构造函数中添加IAuthorizationService服务。添加一个PrivateAccess方法来验证刚才我们添加的PrivateAccess。我们添加一个新的PrivateAccess方法并且使用authService.AuthorizeAsync 来验证我们刚添加的PrivateAccess策略

代码如下:

public async Task<IActionResult> PrivateAccess()
{
    string[] allowedUsers = { "tom", "alice" };
    var authorized=await _authorizationService.AuthorizeAsync(User,allowedUsers,"PrivateAccess");
    if(authorized.Succeeded)
    {
        return View("Index",User.Claims);
    }
    else
    {
        return new ChallengeResult();
    }
}

这个方法只能有tom和alice这两个用户调用。注意我们给AllowPrivateHandler了的AuthorizeAsync()方法的第二个参数提供了allowUsers的变量。如下代码:

var authorized=await _authorizationService.AuthorizeAsync(User,allowedUsers,"PrivateAccess");

AllowPrivateHandler类获取allowedUsers 值通过AuthorizationHandlerContext 类的 Resource 属性,代码如下

string[] allowUsers = context.Resource as string[];

初始化ChallengeResult 会强制除了tom和alice以外的用户调转到登录页面。使用alice用户登录我们可以看到该方法被调用,进入https://localhost:7296/Claims/PrivateAccess

a2763f5dbf12351b3c49c11b2fcb2476.png

现在我们使用mary账户登录,进入相同的页面,我们发现调转到了登录页面

总结

这节我们主要讲解了关于策略授权

源代码地址:

https://github.com/bingbing-gui/Asp.Net-Core-Skill/tree/master/AspNetCore.Identity/Identity

dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NET CORE[练习10]-Identity-自定义Policy
修武FEN青
09-04 869
练习+博客,量化自己的进步! 之前的角色校验、Claim校验都是基于Policy的,也可以自定义Policy,更灵活些,更全面些,或者将之前的用户校验、Claim校验合并到自定义的Policy中。 policy的内置方法有: RequireClaim 必须的Claim RequireRole 必须的角色 RequireUserName 必须的用户名 自定已po...
详解ASP.NET CoreIdentity 入门(二)
10-20
本篇文章主要介绍了ASP.NET CoreIdentity 入门,主要负责对用户的身份进行认证,有兴趣的可以了解一下。
详解ASP.NET CoreIdentity 入门(一)
10-18
本篇文章主要介绍了ASP.NET CoreIdentity 入门,主要负责对用户的身份进行认证,有兴趣的可以了解一下。
ASP.NET Core MVC从入门到精通系列文章PDF版
06-30
ASP.NET Core MVC从入门到精通系列文章。 本系列文章共计20篇,主要包括ASP.NET Core MVC项目创建,启动运行,以及命名约定,创建控制器,视图,模型,接收参数,传递数据ViewData,ViewBag,路由,页面布局,wwwroot和客户端库,Razor语法,EnityFrameworkCore数据库,HttpContext,Request,Response,Session,序列化,文件上传,自动映射,Html辅助标签,模型校验,鉴权、授权基础,Identity入门,日志管理,Filter(筛选器),缓存等内容。 具体可参考本人博客
Asp.Net Core Identity 隐私数据保护的实现
10-15
主要介绍了Asp.Net Core Identity 隐私数据保护的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
.Net Core DI依赖注入:一个接口注入多个实现类
foreverhot1019的博客
11-17 1726
方式一、默认就可以注入多个实现类 例如接口IShow,注入ShowA和ShowB两个实现类: services.AddTransient<IShow, ShowA>(); services.AddTransient<IShow, ShowB>(); 获取的时候默认是获取到最后一个,如下所示: 可以使用"IEnumerable<IShow> showList" 的方式来获取所有注入的实现类,如下所示: 方式二、使用注入方法”Ad..
ASP.NET Core Identity 系列之三
dotNET跨平台
02-28 283
在这节中我们将研究ASP.NET Core Identity中用户名、邮件、密码策略,解释一下Identity默认提供的策略以及如何实现自定义策略,最后我们针对用户名、邮件、密码实现客户自定义策略1、ASP.NET Core Identity密码策略ASP.NET Core Identity默认的密码策略要求密码满足如下条件:密码必须至少6个字符密码至少有一个除字母和数字以外的字符密码必须至少有一...
谈谈ASP.NET CORE Identity的认证流程及授权过程
覃鸿宇的博客
03-21 1196
写在前面 ASP.NET Core Identity是一个会员系统,ASP.NET Core Identity封装了User、Role、Claim等身份信息,便于我们快速完成登录功能的实现,它允许你向应用程序添加登录功能。用户可以使用用户名和密码创建登录账户,也可以使用QQ、微信、Fackbook、Microsoft等外部账号提供程序登录。 1. 认证流程 在ASP.NET Core中使...
使用Autofac实现完全替换NetCore自带的容器并通过特性完成依赖注入以及配置文件中值的注入以及切面拦截
weixin_43872830的博客
11-06 4325
NetCore自带容器通过构造方法注入一旦类多了显得比较臃肿不方便,当然你也可以在构造函数中注入一个类似IocManager即Ioc管理器的类,然后通过lambda表达式来实现对类的依赖。你也可以通过实现Autofac基础的关于特性的属性注入的方式,不过这种只能在Controller上进行,不能深入到其他类。NetCore中并不能通过特性的方式完成对值的注入。NetCore中提供的拦截器一般都是Filter,它只能拦截到Controller,如果我们想拦截其他类,这个时候首先可以想到Castle,使用Cas
.NET 5 GRPC 认证和授权
一切皆可码
04-10 814
认证和授权一般是同时出现的,先做认证,认证的时候进行权限获取,进入接口之前根据接口的权限要求进行授权校验 假设有个接口,他需要的访问权限是用户年龄必须为18岁,采用jwt进行认证 接口访问流程:用户先获取到JWT的token—>请求接口带上token—>进行token校验并将用户的年龄作为Claim设置到ClaimsPrincipal中---->进入接口权限校验 先启用认证和授权,该配置一定要在app.UseEndpoints之前,认证最好也是放在授权之前,否则会先进行授权逻辑再进行验证
.NET Core授权失败如何自定义响应信息?
dotNET跨平台
07-13 373
【导读】在.NET 5之前,当授权失败即403时无法很友好的自定义错误信息,以致于比如利用Vue获取到的是空响应,不能很好的处理实际业务,同时涉及到权限粒度控制到控制器、Action,也不...
.netcore入门10:分析aspnetcore自带的cookie认证原理
火焰
02-22 3686
环境 netcore 3.1.1.0 vs2019 16.4.5 一. Scheme、Claim、ClaimsIdentity、ClaimsPrincipal介绍 Scheme(独立于另外三个):身份认证方案(应用中可以有多个方案,比如:AddCookie(options=>{})表示cookie方案,AddJwtBear(options=>{})表示token方案) Claim...
Asp.Net Core 授权源码分析(上篇)
qq_41990222的博客
07-11 1173
我们通过定义授权策略,查看源码发现,在对授权配置之后,授权系统通过DI的方式注册了几个核心的默认实现。添加授权策略服务使用方法,以便调用。从源码可以发现,从core3.0后,由之前在core2.0中的文件中,原来的的方法变为了方法,微软在这一块进行了封装在文件中,沿用了之前拓展名称,不影响之前版本的使用。 由上可知,在调用方法进行授权配置的时候,需要使用到委托方式传参。所以我们再来看看下面这一行代码,通过实现添加策略方式。 通过上图可以把Policy(策略)加入到了AuthorizationOptions
HTML、ASP.NET、XML、Javascript、DIV+CSS、JQuery、AJax的起源与简介
weixin_59272777的博客
05-31 761
HTML(Hyper Text Markup Language,超文本标记语言)是用于创建网页的标准标记语言,它通过元素(也称为"标签")来描述网页的内容和结构。这些元素告诉浏览器如何显示网页中的文本、图像、链接、列表、表格等。ASP.NET,全称Active Server Pages.NET,是微软公司推出一种用于构建Web应用程序的框架。XML(Extensibel Markup Language,可扩展标记语言)是一种编码文档的标记语言,它可以用来表示、传输和存储数据。
C#面:请解释ASP.NET中的web页面与其隐藏类之间的关系
那个那个鱼的博客
05-29 271
当用户请求一个web页面时,ASP.NET 框架会创建一个对应的隐藏类的实例,并调用它的生命周期方法来处理请求。隐藏类中包含了页面的所有控件和事件处理程序的定义,它们通过自动生成的代码与页面进行关联。在 ASP.NET 中,每个web页面都对应着一个隐藏类,这个隐藏类是由 ASP.NET 框架自动生成的。隐藏类负责处理页面的事件和生命周期,包含了页面上的控件定义和事件处理程序的实现。当用户与页面上的控件进行交互时,比如点击按钮或者输入文本,相应的事件会触发,并由隐藏类中的事件处理程序来处理。
vue3 前端实现导出下载pdf文件
最新发布
Wang_MengHan的博客
05-31 336
这样的数据实现导出 yourArrayBufferOrByteArray 就是后端返回数据。
防止重复调用
jyx_boy的博客
05-30 233
在前段设置状态在响应时进入遮罩层或给按钮一个状态。
python前端通过API接口调用与后端进行数据交互前端如何调用api接口通过关键词获取电商平台热销商品数据
2301_78159247的博客
05-23 772
请求参数:q=女装&start_price=0&end_price=0&page=1&cat=0&discount_only=&sort=&page_size=&seller_info=&nick=&ppath=&imgid=&filter=参数说明:q:搜索关键字。
asp.net core identity
03-16
ASP.NET Core Identity是一个用于管理用户身份验证和授权的框架。它提供了一套API和UI组件,可以轻松地实现用户注册、登录、密码重置、角色管理等功能。ASP.NET Core Identity还支持多种身份验证方式,包括用户名/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值