IdentityServer4 指定角色授权(Authorize(Roles="admin"))

最新推荐文章于 2024-05-17 10:02:39 发布
最新推荐文章于 2024-05-17 10:02:39 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sD7O95O/article/details/78096356
版权

1. 业务场景

IdentityServer4 授权配置Client中的AllowedScopes,设置的是具体的 API 站点名字,也就是使用方设置的ApiName,示例代码:


//授权中心配置
new Client
{
    ClientId = "client_id_1",
    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
    AllowOfflineAccess = true,
    AccessTokenLifetime = 3600 * 6, //6小时
    SlidingRefreshTokenLifetime = 1296000, //15天
    ClientSecrets =
    {
        new Secret("secret".Sha256())
    },
    AllowedScopes = 
    {
        "api_name1"
    },
}

//API 服务配置
app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions
{
    Authority = $"http://localhost:5000",
    ApiName = "api_name1",
    RequireHttpsMetadata = false
});


上面两个api_name1配置要一致,问题来了,因为授权中心的scope配置是整个 API 服务,如果我们存在多个Client配置,比如一个前台和后台,然后都需要访问api_name1,就会出现一些问题。

比如,api_name1服务中的一个接口服务配置代码:

[Authorize()]
[Route("api/values")]
[HttpGet]public IActionResult Get(){   
 return Ok();
}

Authorize()的配置,说明api/values接口需要授权后访问,如果授权中心配置了两个Client(前台和后台),并且scope都包含了api_name1,现在就会出现两种情况:

  1. 前台Client和后台Client,都需要授权后访问api/values接口:没有问题。

  2. 前台Client不需要授权后访问,后台Client需要授权后访问:有问题,前台Client没办法访问了,因为api/values接口设置了Authorize()

其实,说明白些,就是该如何让 API 服务指定Client授权访问?比如:[Authorize(ClientId = 'client_id_1')]

2. 解决方案

没有[Authorize(ClientId = 'client_id_1')]这种解决方式,不过可以使用[Authorize(Roles = 'admin')]

授权中心的ResourceOwnerPasswordValidator代码,修改如下:


public class ResourceOwnerPasswordValidator : IResourceOwnerPasswordValidator
{
    private readonly IUserService _userService;

    public ResourceOwnerPasswordValidator(IUserService userService)
    {
        _userService = userService;
    }

    public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context)
    {
        var user = await _userService.Login(context.UserName, context.Password);
        if (user != null)
        {
            var claims = new List<Claim>() { new Claim("role", "admin") }; //根据 user 对象,设置不同的 role
            context.Result = new GrantValidationResult(user.UserId.ToString(), OidcConstants.AuthenticationMethods.Password, claims);
        }
    }
}


授权中心的startup配置,修改如下


var builder = services.AddIdentityServer();
builder.AddTemporarySigningCredential()
        //.AddInMemoryIdentityResources(Config.GetIdentityResources())
        .AddInMemoryApiResources(new List<ApiResource>
        {
            new ApiResource("api_name1", "api1"){ UserClaims = new List<string> {"role"}}, //增加 role claim
            new ApiResource("api_name2", "api2"){ UserClaims = new List<string> {"role"}}
        })
        .AddInMemoryClients(Config.GetClients());


API 服务接口,只需要配置如下:


[Authorize()]
[Route("api/values")]
[HttpGet]
public IActionResult Get()
{
    return Ok();
}

[Authorize(Roles = "admin")]
[Route("api/values2")]
[HttpGet]
public IActionResult Get2()
{
    return Ok();
}

[Authorize(Roles = "admin,normal")]
[Route("api/values3")]
[HttpGet]
public IActionResult Get3()
{
    return Ok();
}


需要注意的是,api/values接口虽然没有设置具体的Roles,但每个Role都可以访问。

相关文章:

原文地址:http://www.cnblogs.com/xishuai/p/identityserver4-apiresource-userclaim-role-authorize.html

        
 
 
 
.NET社区新闻,深度好文,微信中搜索dotNET跨平台或扫描二维码关注
dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
identityserver4+aspnet core Identity+role实战总结
DaneSpiritGOD的专栏
06-12 3015
参考IdentityServer4实战 - 基于角色的权限控制及Claim详解 博主解决了基于TestUser的role claim issue问题,但由于我使用了Aspnet core的Identity,发现按照晓晨Master的做法没能实现在WebAPI端的Role验证功能 [Authorize(Roles = &amp;amp;quot;Master&amp;amp;quot;)] public class IdentityCont...
identityserver4 Authorize 传参
weixin_34044273的博客
03-03 474
原文 http://docs.identityserver.io/en/release/endpoints/authorize.html Authorize Endpoint授权终端 用于通过浏览器授权 请求令牌 或 授权码,该过程主要用于最终用户授权及可选同意。The authorize endpoint can be used to request tokens or a...
推荐开源项目:JPProject.IdentityServer4.AdminUI
最新发布
gitblog_00099的博客
05-17 359
推荐开源项目:JPProject.IdentityServer4.AdminUI 项目地址:https://gitcode.com/brunobritodev/JPProject.IdentityServer4.AdminUI 1、项目介绍 JPProject.IdentityServer4.AdminUI 是一个专为IdentityServer4设计的管理面板,分为轻量版和完整版两个版本,旨在...
IdentityServer4之Authorization Code(授权码)相对更安全
dotNET跨平台
02-10 586
前言接着授权模式聊,这次说说Authorization Code(授权码)模式,熟悉的微博接入、微信接入、QQ接入都是这种方式(这里说的是oauth2.0的授权码模式),从用户体验上来看,...
IdentityServer4 指定角色授权Authorize(Roles="admin"))
weixin_34319999的博客
02-17 428
1. 业务场景 IdentityServer4 授权配置Client中的AllowedScopes,设置的是具体的 API 站点名字,也就是使用方设置的ApiName,示例代码: //授权中心配置 new Client { ClientId = "client_id_1", AllowedGrantTypes = GrantTypes.R...
IdentityServer4 QuckStart 授权与自定义Claims的问题
10-15
QuickStart示例项目是IdentityServer4项目的一部分,用来为初学者提供一个简单的起始点,通过它能快速理解并构建一个安全的授权服务器。 在本文中,首先提到的是一个常见问题,即在使用IdentityServer4保护API时,...
authorize-role:一个简单的基于角色的快速授权中间件
05-13
授权角色 一个简单的基于角色授权中间件。 安装 npm install --save authorize-role 用法 用以下命令导入: var authorize = require('authorize-role'); request对象必须具有user属性,该role必须具有role才能...
MHCP001:Discord机器人@ https:discord.comapioauth2authorize?client_id = 279321031989264384&permissions = 470281280&scope = bot
02-18
4. `.gitignore` - 定义哪些文件和目录不应被版本控制系统跟踪。 5. `LICENSE` - 项目使用的开源许可证信息。 6. `README.md` - 项目介绍、安装指南和使用说明。 为了创建和运行这个Discord机器人,开发者首先需要...
authorize_企业微信授权示例_
09-30
企业微信授权示例是企业在开发过程中与企业微信平台进行集成的一种常见需求,主要涉及OAuth2.0授权协议,用于安全地获取用户信息或实现单点登录。本文将深入讲解企业微信授权的过程、关键步骤以及如何在实际项目中...
IdentityServer4系列(03)【使用Authorization Code Flow】
极客神殿
03-28 551
Authorizaton Code Flow,比如用在MVC应用程序,其实MVC也有自己的验证授权,通过Authorizaton Code Flow把验证授权交给IdentityServer4。既然OpenId Connect是在OAuth基础上的封装,这就有大致如下的相关性。 OAuth2.0 OpenId Connect Authorization Code Grant Authorization Code Flow Implicit Grant Implicit Flow .
MVC 权限控制 Authorize Roles 简单实现
apple151128的博客
12-17 4590
首先创建一个 BaseController ,让所有的Controller继承自BaseController 。 [Authorize] public class BaseController : Controller { }   系统登录需要一个 AccountController ,继承自BaseController ,并添加匿名访问标记 All
identityserver 权限控制
歇息的专栏
05-06 915
我们都知道identityserver是一个认证授权的框架,认证是用openid实现的,授权是基于oauth2.0实现的, OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散性。OpenID 的创建基于这样一个概念:我们可以通过 URI (又叫 URL 或网站地址)来认证一个网站的唯一身份,同理,我们也可以通过这种方式来作为用户的身份认证。 OAuth(开放授权)是一个开放标...
IdentityServer4实现Token认证登录以及权限控制
weixin_30511039的博客
11-06 622
相关知识点 不再对IdentityServer4做相关介绍,博客园上已经有人出了相关的系列文章,不了解的可以看一下: 蟋蟀大神的:小菜学习编程-IdentityServer4 晓晨Master:IdentityServer4 以及Identity,Claim等相关知识: Savorboard:ASP.NET Core 之 Identity 入门(一),ASP.NET Core 之 Identity...
[Practice Note] 2. Authorize特性中Roles,User权限控制实现
NoFind_Coder的博客
11-01 780
今日更新
集成WebSecurity的Authorize进行身份验证时,数据库连接报错问题
weixin_30699463的博客
06-25 231
mvc4中把之前Membership升级成simpleMembership,自然升级是好处比较多,每一个新版本的到来,都需要接收它的惊喜和接受它的bug。 我在Controller上做验证的时候,我们使用 [Authorize] 和 [Authorize(Users="myuser")]都没问题,当我们使用 [Authorize(Roles="admin")]的时候问题来了,我们得到以下错误: ...
authorize如何控制多个角色权限】_权限框架—Spring Security
weixin_39778003的博客
12-23 1354
权限框架—Spring Security源代码:https://github.com/xzyhahaha/springboot-security.git1.Spring Security简介在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏...
Asp.Net Core 中IdentityServer4 实战之角色授权详解
极客神殿
05-02 1602
一、前言 前几篇文章分享了IdentityServer4密码模式的基本授权及自定义授权等方式,最近由于改造一个网关服务,也用到了IdentityServer4授权,改造过程中发现比较适合基于Role角色授权,通过不同的角色来限制用户访问不同的Api资源,当时编写的时候我是使用了一个中间件来实现,想想可能基于Role角色的方式来实现会更佳,不过也只是其中一小部分适合,这里我就来分享IdentityServer4基于角色授权详解。 没有看过之前的几篇文章,我建议先回过头看看上面那几篇文章再来看本篇文章,不
<security:authorize access=&quot;hasPermission 中,hasPermission 如何配置参数
05-14
在Spring Security的`hasPermission`表达式中,可以使用方法调用或SpEL表达式来配置参数。以下是两种配置参数的方式: 1. 方法调用:您可以使用方法调用来传递参数。例如,如果您想要检查当前用户是否有访问某个资源的权限,可以使用以下方式进行配置: ``` <security:authorize access=&quot;hasPermission(#resourceId, 'read')&quot;/> ``` 其中,`#resourceId`表示方法调用的第一个参数,`'read'`表示方法调用的第二个参数。 2. SpEL表达式:您也可以使用SpEL表达式来传递参数。例如,如果您想要检查当前用户是否有访问特定用户的权限,可以使用以下方式进行配置: ``` <security:authorize access=&quot;hasPermission(user.id, 'com.example.Permission.READ')&quot;/> ``` 其中,`user.id`表示SpEL表达式的第一个参数,`'com.example.Permission.READ'`表示SpEL表达式的第二个参数。 请注意,`hasPermission`表达式的参数顺序取决于您在配置中定义的方法签名。您可以根据需要使用自定义方法签名来定义`hasPermission`表达式的参数顺序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值