在Blazor应用中实现认证授权:一步步构建安全的.Net项目

最新推荐文章于 2024-05-26 09:45:25 发布
最新推荐文章于 2024-05-26 09:45:25 发布
阅读量594 收藏 3
点赞数
文章标签: 安全 .net
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654098939&idx=2&sn=c6fc754813d96f9b78ab06c085d054d7&chksm=81ad0e4604670fa5e063c6a9bf6e9b827c599900e480a9198325e5c033b3ba963d117562fe81&scene=126&sessionid=0
版权

        在.Net领域,认证授权机制一直是维护项目安全的重要组成部分。了解如何在最新的Web框架Blazor中实施认证和授权机制,不仅可以帮助你的应用保护敏感数据,更能为用户提供个性化的交互体验。本文,我们将深入探讨如何在Blazor项目中加入认证授权的具体做法,并分享一个具体实施案例:AntSK项目。

一、Blazor认证授权的首步:依赖注入

        首先,认证授权功能的基础离不开依赖注入(Dependency Injection)。这是.NET Core平台的核心功能之一,Blazor自然也不例外。通过下述代码,我们可以向服务容器中添加认证授权相关的服务:

builder.Services.AddAuthorizationCore();
builder.Services.AddScoped<AuthenticationStateProvider, AntSKAuthProvider>();

        以上代码中,AddAuthorizationCore 方法用于添加核心认证授权服务,而 AddScoped 方法则将我们自定义的 AntSKAuthProvider 鉴权类注入为 AuthenticationStateProvider 的实现,它将负责提供当前用户的认证状态信息。

        另外,可能你需要引用NuGet:

Microsoft.AspNetCore.Authorization
Microsoft.AspNetCore.Components.Authorization
Microsoft.AspNetCore.Components.WebAssembly.Authentication

二、自定义鉴权类 AntSKAuthProvider

        为了满足特定项目需求,有时候我们需要定制鉴权逻辑。在AntSK项目中,我们创建了一个自定义的鉴权类 AntSKAuthProvider,它继承自 AuthenticationStateProvider 并实现了用户登录的逻辑,如下所示:

public class AntSKAuthProvider : AuthenticationStateProvider
{
    private ClaimsIdentity identity = new ClaimsIdentity();


    public async Task<bool> SignIn(string username, string password)
    {
        if (username == LoginOption.User && password == LoginOption.Password)
        {
            // 用户认证成功,创建用户的ClaimsIdentity
            var claims = new[] { new Claim(ClaimTypes.Name, username) };
            identity = new ClaimsIdentity(claims, "AntSK");
            NotifyAuthenticationStateChanged(GetAuthenticationStateAsync());
            return true;
        }
        else
        {
            // 用户认证失败
            return false;
        }
    }
    
    public override Task<AuthenticationState> GetAuthenticationStateAsync()
    {
        var user = new ClaimsPrincipal(identity);
        return Task.FromResult(new AuthenticationState(user));
    }
}

        当调用 SignIn 方法尝试登录时,如果提供的用户名和密码与预设的管理员账户相匹配,就会创建一个包含用户名的 ClaimsIdentity,然后通知系统认证状态已更改。相反,如果认证失败,该方法则返回 false

三、配置App.razor并启用CascadingAuthenticationState

        为了让整个应用都能够感知到认证状态,我们需要在 App.razor 文件内封装所有的路由组件,使用 CascadingAuthenticationState 组件。代码如下:

@inject NavigationManager NavigationManager
@using Microsoft.AspNetCore.Components.Authorization 
<CascadingAuthenticationState>
    <Router AppAssembly="@typeof(Program).Assembly">
        <!-- 路由配置 -->
    </Router>
    <AntContainer />
</CascadingAuthenticationState>

        通过上述配置,每个 RouteView 或组件都能通过 CascadingParameter 接收到当前的认证状态了。

四、实施页面访问控制:AuthComponentBase

        在用户尝试访问需要登录的页面时,我们应当进行权限检查。实现这一目的的一种方法是创建 AuthComponentBase 类,让需要验证用户的页面继承该类。

public class AuthComponentBase : ComponentBase
{
    // 注入相关服务
    [Inject]
    public AuthenticationStateProvider AuthenticationStateProvider { get; set; }
    [Inject]
    public NavigationManager NavigationManager { get; set; }
    public ClaimsPrincipal User { get; set; }


    // 初始化时获取认证状态
    protected override async Task OnInitializedAsync()
    {
        await GetAuthenticationStateAsync();
    }


    // 检查用户的认证状态,未认证则重定向至登录页面
    private async Task GetAuthenticationStateAsync()
    {
        var authenticationState = await AuthenticationStateProvider.GetAuthenticationStateAsync();
        User = authenticationState.User;


        if (!User.Identity.IsAuthenticated)
        {
            NavigationManager.NavigateTo("/user/login");
        }
    }
}

        子类继承自 AuthComponentBase 之后,在 OnInitializedAsync 阶段就会进行用户认证状态的检查,如果用户未认证,则自动重定向至登录页面。

@using AntSK.Services.Auth
@inherits AuthComponentBase


五、AntSK项目实战应用

        AntSK项目不仅是一个开源的AI知识库/智能体项目,也是一个实践Blazor认证授权机制的绝佳案例。以上分享的代码就是从AntSK项目中提取出来的,进一步学习与实操,欢迎访问AntSK项目的GitHub页面:

https://github.com/xuzeyu91/AntSK

        在你自己的项目中集成认证和授权可能会有些复杂,但通过上述步骤详细演示了整个流程,希望能帮到正在构建Blazor应用程序的你。

AntSK:打造.Net全能AI智能知识库,共启智能化管理新时代!

结语

        .Net领域的认证授权技术发展迅速,Blazor作为新的前端框架,为我们提供了新的实现途径。希望通过本文的分享,你能够更清晰地掌握如何为你的Blazor应用添加认证授权功能,提升应用的安全性与用户体验。同时,这不仅仅是技术实现的问题,更是一种对用户负责的体现,是每一个.Net开发者应该具备的基本能力。我们后续还将继续关注.Net相关技术的新动态,与大家分享更多实用技巧。

dotNET跨平台
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Blazor Service 实现身份验证
時雨的博客
06-27 1308
之前用 Blazor 做了几个小应用,但是一直没有去做身份验证系统,之前也没有ASP.NET的基础,C#也是最近学的,而且重要的是,网上居然几乎没有相关的资料,于是咱就结合网上的一些信息和微软的官方文档(微软的文档是我见过最好的文档了)做了一个身份鉴权的小Demo。在 Provider 下写自定义的基础认证服务,这里使用的session的形式做鉴权认证Blazor 是微软的新型的web开发方案,用来做全栈开发真是太爽了。然后在项目的目录下创建Auth目录存放鉴权的基础设施。一个简单的登录页面示例;
Blazor 基于角色的授权
最新发布
技术探索驿站
06-19 797
Blazor用于使用 .NET 代码库创建交互式客户端 Web UI。Microsoft 默认在 Blazor 应用程序提供了一个用于身份验证和授权的身份框架。请注意,他们目前使用 MVC Core Razor 页面作为身份验证 UI。使用“Microsoft.AspNetCore.Identity.UI”包库来实现这一点。将来,他们可能会用 Razor 组件替换它。在这篇文章,我们可以看到如何为 Blazor 应用程序添加身份验证和授权,并使用用户角色限制页面。我将逐步解释所有这些操作。
Blazor WebAssembly身份认证授权
catshitone的专栏
08-18 5487
文章目录1.简介2. 使用OIDC进行身份验证的流程3. 授权4. 验证库的使用4.1 配置依赖注入4.2 添加命令空间和js4.3 添加组件4.3.1 配置4.3.2 `RedirectToLogin`组件4.3.3 `LoginDisplay`组件5.常见组件和服务5.1 `Authentication`组件5.2 `AuthorizeView` 组件5.3 `AuthenticationStateProvider` 服务5.3.1 自定义`AuthenticationStateProvider`服务6
推荐:使用客户端Blazor实现安全身份验证的完美示例
gitblog_00043的博客
05-26 414
推荐:使用客户端Blazor实现安全身份验证的完美示例 项目地址:https://gitcode.com/chrissainty/AuthenticationWithClientSideBlazor 1、项目介绍 在现代Web开发,确保应用程序的安全性是至关重要的。Authentication With client-side Blazor 是一个开源项目,它展示了如何利用客户端Blazor、W...
BlazorServer非鉴权的登录和注册
jamenu的博客
07-05 631
BlazorServer入门,参数的绑定与跳转
cpnucleo-blazor:一个示例应用程序,在构建.NET 5 Blazor WASM项目时可实现最佳性能
02-08
"cpnucleo-blazor" 是一个基于.NET 5的Blazor WebAssembly(WASM)示例应用程序,旨在展示如何在构建此类项目时优化性能。"最佳性能"是此项目的重点,意味着它可能包含了各种性能优化策略和技术。 **描述解读:** ...
BlazorMaterialChat:在Blazor WebAssembly ASP.NET Coret进行的聊天托管
03-04
BlazorMaterialChat是一个基于Blazor WebAssembly的项目,它展示了如何在ASP.NET Core环境实现一个交互式的聊天应用程序。Blazor是Microsoft推出的一种用于构建Web应用的新框架,它允许开发者使用C#和Razor语法来...
quick-forms:使用Blazor和ASP.NET Core Web API制作的表单生成器
04-06
快速表单(Quick-Forms)是一个利用Blazor和ASP.NET Core Web API技术构建应用程序,专为快速生成自定义表单而设计。Blazor是一种现代的、基于浏览器的Web开发框架,由Microsoft开发,允许使用C#进行客户端和...
Blazor构建数据库应用程序-第4部分-UI控件
04-04
Blazor构建数据库应用程序是一项复杂而有趣的工作,它结合了C#、.NET Core、ASP.NET和HTML等技术,提供了构建现代Web应用的新途径。本篇内容将深入探讨在Blazor应用创建用户界面(UI)控件的细节,帮助你理解...
eShopOnBlazor:将传统的ASP.NET Web窗体应用程序迁移到Blazor
05-25
在当前的Web开发领域,Microsoft推出的Blazor框架为开发者提供了一种全新的构建客户端Web应用的方式,它允许使用C#和.NET框架进行客户端编程,而不再仅仅依赖于JavaScript。"eShopOnBlazor"项目就是针对这一技术转移...
Blazor 版 Bootstrap Admin 通用后台权限管理框架
dotNET跨平台
12-12 3682
前言上一篇介绍过了前后台分离的 NET Core 通用权限管理系统在这篇文章简要的介绍了 Bootstrap Admin 后台管理框架的一些功能。本篇文章带来的是微软最新出的 Blaz...
简单服务器端Blazor Cookie身份验证
weixin_43860834的博客
12-29 1272
我在写Blazor验证的时候就出现了一个问题 报错提示是:Found markup element with unexpected name ‘LoginControl’. If this is intended to be a component, add a @using directive for its namespace 搞不明白这是什么意思 有没有大佬指教一下我这个小白 谢谢了 ...
Blazor 应用如何使用 Azure Active Directory 认证登录
dotNET跨平台
08-23 443
点击上方蓝字 /关注“汪宇杰博客”原文:Azure Tips and Tricks翻译:汪宇杰使用 Azure Active Directory 保护您的应用程序您可以使用 Azure ...
从零开始Blazor Server(6)--基于策略的权限验证
jh035的博客
11-23 953
现在处于大更新时期,Menu组件要改为泛型模式。本来我们的这一篇应该是把Layout改了,但是改Layout肯定要涉及到菜单,如果现在写了呢,就进入一个发布就过时的状态,就很尴尬,所以后面的就稍微拖一拖。加上昨天有人说我用违反单一性原则,要用策略,所以这里我们说下策略怎么做。
Blazor Server模式下,权限系统如何设计
彭大摩的博客
02-20 761
Blazor Server模式下权限系统的设计
Blazor入门100天 : 身份验证和授权 (1) - 建立带身份验证工程
alex_zoucn的博客
02-18 1860
欢迎转载、使用、重新发布,但务必保留文章署名AlexChow,不得用于商业目的,基于本文修改后的作品务必以相同的许可发布。本文来自博客园,作者:周创琳 AlexChow,转载请注明原文链接.Maui Blazor 文社区 QQ群:645660665。BA & Blazor QQ群:795206915。FreeSql QQ群:4336577。作为IDS数据库连接。
学习ASP.NET Core Blazor编程系列二十二——登录(1)
Gefangenes的博客
06-06 943
通过前面的ASP.NET Core Blazor编程系列文章为读者介绍了Blazor及组件的相关基础概念,以及我们已经实现了用Blazor实现对数据的增删改查这四大基本功能,以及文件上传的功能,通过这些功能的实现我们已经能用Blazor处理一些简单的实际问题,特别是企业内部信息管理系统的相关问题。前面的ASP.NET Core Blazor编程系列文章却没有讲到信息管理系统一个最基本功能——登录,有关登录功能的介绍。
Blazor页面元素授权——AuthorizeView 组件的使用
qq_40404477的博客
10-28 5712
Blazor页面元素授权——AuthorizeView 组件的使用 上篇博客我们说到了blazor的身份认证实现,对于AuthorizeView 组件来说,可以通过级联参数来获取包含了用户信息的AuthenticationState对象。 请注意,你需要引用Microsoft.AspNetCore.Components.Authorization Nuget包,并且在启动类添加服务Services.AddAuthorizationCore(); 使用CascadingAuthenticationStat
再搜一个, blazor server cookie认证授权blazor server jwt认证授权
05-31
Blazor Server是一种基于ASP.NET Core的Web开发框架,它允许您使用C#语言开发现代Web应用程序。在Blazor Server,您可以使用cookie认证授权或JWT认证授权来保护您的应用程序。 ### Blazor Server Cookie认证授权 Blazor Server的cookie认证授权与ASP.NET Core的cookie认证授权非常相似。您可以使用ASP.NET Core Identity来管理用户和角色,并使用`[Authorize]`属性来标记需要授权才能访问的组件。 首先,您需要在ASP.NET Core应用程序启用身份验证和授权。然后,您可以使用Identity提供的API来管理用户和角色。 接下来,您需要在Blazor组件使用`[Authorize]`属性来标记需要授权才能访问的组件。这将要求用户登录,并检查他们是否具有访问该组件的权限。 最后,您可以使用`HttpContext`类来访问当前用户的身份信息,以及验证他们是否具有所需的角色和权限。 下面是一个示例,演示如何在Blazor Server应用程序使用cookie认证授权: ``` @page "/myprotectedpage" @attribute [Authorize(Roles = "Admin")] <h1>Welcome to the protected page!</h1> @code { [Inject] private IHttpContextAccessor HttpContextAccessor { get; set; } private ClaimsPrincipal User => HttpContextAccessor.HttpContext.User; protected override async Task OnInitializedAsync() { // Check if the user has the required role if (!User.IsInRole("Admin")) { NavigationManager.NavigateTo("/accessdenied"); } } } ``` 在上面的示例,我们使用`[Authorize(Roles = "Admin")]`属性来标记需要“Admin”角色才能访问的组件。然后,我们使用`IHttpContextAccessor`来访问当前用户的身份信息,并检查他们是否具有所需的角色。如果用户没有所需的角色,我们将重定向到一个名为“accessdenied”的页面。 ### Blazor Server JWT认证授权 Blazor Server的JWT认证授权Blazor WebAssembly的JWT认证授权非常相似。您可以使用ASP.NET Core Identity和JSON Web Token(JWT)来实现JWT认证授权,并使用`[Authorize]`属性来标记需要授权才能访问的组件。 首先,您需要在ASP.NET Core应用程序配置JWT认证服务。然后,您可以使用Identity提供的API来管理用户和角色,以及实现基于角色的授权策略。 接下来,您需要在Blazor组件使用`[Authorize]`属性来标记需要授权才能访问的组件。这将要求用户登录,并检查他们是否具有访问该组件的权限。 最后,您可以使用JWT来验证用户身份,并根据用户的角色和权限来授权访问。 下面是一个示例,演示如何在Blazor Server应用程序使用JWT认证授权: ``` @page "/myprotectedpage" @attribute [Authorize(Roles = "Admin")] <h1>Welcome to the protected page!</h1> @code { [Inject] private IAccessTokenProvider TokenProvider { get; set; } private async Task<string> GetAccessTokenAsync() { var tokenResult = await TokenProvider.RequestAccessToken(); if (tokenResult.TryGetToken(out var token)) { return token.Value; } else { return null; } } protected override async Task OnInitializedAsync() { var accessToken = await GetAccessTokenAsync(); if (accessToken != null) { // Verify the token and extract the user's claims var handler = new JwtSecurityTokenHandler(); var token = handler.ReadJwtToken(accessToken); var userId = token.Claims.FirstOrDefault(c => c.Type == ClaimTypes.NameIdentifier)?.Value; var roles = token.Claims.Where(c => c.Type == ClaimTypes.Role).Select(c => c.Value).ToList(); // Check if the user has the required role if (!roles.Contains("Admin")) { NavigationManager.NavigateTo("/accessdenied"); } } else { NavigationManager.NavigateTo("/login"); } } } ``` 在上面的示例,我们使用`[Authorize(Roles = "Admin")]`属性来标记需要“Admin”角色才能访问的组件。然后,我们使用`IAccessTokenProvider`来获取JWT访问令牌,并验证令牌以确定用户的身份和角色。如果用户没有所需的角色,我们将重定向到一个名为“accessdenied”的页面。 希望这些示例能够帮助您实现Blazor Server的cookie认证授权和JWT认证授权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值