.net MVC下鉴权认证(二)

已于 2022-07-31 19:13:24 修改
阅读量692 收藏 2
点赞数 1
分类专栏: .Net Core MVC 文章标签: mvc
于 2022-07-31 19:12:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sammy520/article/details/126088734
版权

上次讲了.net mvc下鉴权认证的传统方法通过过滤器来实现,那进入.net core时代以后,可以通过鉴权中间件来实现,下面就以mvc程序为例来说明下通过中间件如何来实现。

这里的环境使用的是vs2019 + .net core3.1

在startup的ConfigureServices中配置认证

            services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
                .AddCookie(op => {
                    op.LoginPath = new PathString("/Login");//登录路径
                    op.AccessDeniedPath = new PathString("/Login/Denied");//无权限地址
                });

然后在Configure中配置中间件,注意要放在app.UseRouting和app.UseEndpoints两者之间才可以

        public void Configure(IApplicationBuilder app, IWebHostEnvironment env) {
            if (env.IsDevelopment()) {
                app.UseDeveloperExceptionPage();
            }
            else {
                app.UseExceptionHandler("/Home/Error");
            }
            app.UseStaticFiles();

            app.UseRouting();

            app.UseAuthentication();//鉴权 是否登录

            app.UseAuthorization();//授权 是否有权限访问此操作

            app.UseEndpoints(endpoints => {
                endpoints.MapControllerRoute(
                    name: "default",
                    pattern: "{controller=Home}/{action=Index}/{id?}");
            });
        }

然后在要管理权限的控制器或action上进行标记特性[Authorize]就行了,如果不需要进行管理则可以使用[AllowAnonymousAttribute]特性标记就行

    public class HomeController : Controller {
        private readonly ILogger<HomeController> _logger;

        public HomeController(ILogger<HomeController> logger) {
            _logger = logger;
        }
        [Authorize]
        public IActionResult Index() {
            return View();
        }
    }

登陆控制器代码

    public class LoginController : Controller {
        public IActionResult Index() {
            return View();
        }

        public IActionResult DoLogin(string account, string pwd) {
            if (account == "1646" && pwd == "123") {
                var roleList = new List<string>() {
                    "admin",
                    "test"
                };
                //身份用户声明
                var claims = new List<Claim>() {
                    new Claim(ClaimTypes.Name, $"{account}信息"),
                    new Claim("account", account)
                };
                //填充角色
                foreach (var item in roleList) {
                    claims.Add(new Claim(ClaimTypes.Role, item));
                }
                //装载到身份主体中
                ClaimsPrincipal claimsPrincipal = new ClaimsPrincipal(new ClaimsIdentity(claims, "UserInfo"));
                //写入到cookie中
                HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, claimsPrincipal,
                    new AuthenticationProperties {
                        ExpiresUtc = DateTime.Now.AddMinutes(30)//设置过期时间
                    }).Wait();
                //跳转
                return RedirectToAction("Index", "Home");
            }
            else {
                TempData["error"] = "账号或密码不正确";
                return RedirectToAction("Index", "Login");
            }
        }

        public IActionResult Denied() {
            return View();
        }
    }

然后直接访问Home/Index则会报401直接跳转到Login/Index,因为在startup中有进行配置未登陆处理地址为Login/Index.然后通过登录页面执行登录操作后,再次访问Home/Index就可以成功访问了。

角色管理

上面的权限管控只是管控到有登录就ok,如果要进一步进行角色的权限管控我们可以在特性[Authorize(Roles ="admin")] 上面加上roles指定可以授权的角色就行,那么此角色可以访问其他角色就不行了。如果有多个角色可以","分开。也可以写多个特性标记在上面,如下面的代码那么只有admin角色才可以访问。因为上面登录代码中我有加上角色claims.Add(new Claim(ClaimTypes.Role, item));里面包含了admin所以此页面可以访问,如果把这个角色拿掉再来访问此页面就会报403跳转到Login/Denied,因为在startup中有配置无权限的跳转路径。

    public class HomeController : Controller {
        private readonly ILogger<HomeController> _logger;

        public HomeController(ILogger<HomeController> logger) {
            _logger = logger;
        }
        [Authorize(Roles ="admin")]
        public IActionResult Index() {
            return View();
        }
    }

自定义策略授权进阶

可以发现到目前为止我们的角色这些都是,直接在特性中用代码来写的,这种应该只适合一些小的项目,一般项目中我们还是希望能够后台进行配置的。.net core还支持自定义策略授权

1.添加CustomAuthorizatinRequirement.cs这个类实现接口IAuthorizationRequirement,这个IAuthorizationRequirement是个空接口,我们直接实现不用写什么代码。

    public class CustomAuthorizatinRequirement : IAuthorizationRequirement {

    }

2.添加CustomAuthorizationHandler.cs这个认证处理类,这个类需要实现IAuthorizationRequirement这个接口,不过一般我们都是通过继承AuthorizationHandler<T>泛型抽象类来实现。

    public class CustomAuthorizationHandler: AuthorizationHandler<CustomAuthorizatinRequirement> {
        private IHttpContextAccessor _httpContext;
        public CustomAuthorizationHandler(IHttpContextAccessor httpContext) {
            _httpContext = httpContext;
        }

        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomAuthorizatinRequirement requirement) {
            bool flag=false;
            var httpContext = _httpContext.HttpContext;
            RouteEndpoint res = context.Resource as RouteEndpoint;
            if (res != null) {
                if (res.RoutePattern.RequiredValues.Keys.Count() == 2){
                    var action = res.RoutePattern.RequiredValues.ToList().FirstOrDefault(b => b.Key == "action").Value;
                    var ctr = res.RoutePattern.RequiredValues.ToList().FirstOrDefault(b => b.Key == "controller").Value;
                }
            }

            var user = context.User.Claims.FirstOrDefault(b => b.Type == "account").Value;

            if (user == "1646") {
                flag = true;
            }
            if (flag) {
                context.Succeed(requirement);
            }
            return Task.CompletedTask;
        }
    }

3.让自定义策略生效,需要在服务注册services.AddSingleton<IAuthorizationHandler, CustomAuthorizationHandler>();还有策略的注册

        public void ConfigureServices(IServiceCollection services) {
            services.AddControllersWithViews();

            services.AddSingleton<IHttpContextAccessor, HttpContextAccessor>();
            //自定义认证处理的服务注册
            services.AddSingleton<IAuthorizationHandler, CustomAuthorizationHandler>();
            services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
                .AddCookie(op => {
                    op.LoginPath = new PathString("/Login");//登录路径
                    op.AccessDeniedPath = new PathString("/Login/Denied");//无权限地址
                });
            //策略的注册
            services.AddAuthorization(op => {
                op.AddPolicy("policy1", p => {
                    p.AddRequirements(new CustomAuthorizatinRequirement());
                });
            });
        }

然后在控制器上加上

    public class HomeController : Controller {
        private readonly ILogger<HomeController> _logger;

        public HomeController(ILogger<HomeController> logger) {
            _logger = logger;
        }
        [Authorize(Roles ="admin")]
        public IActionResult Index() {
            return View();
        }
        [Authorize(policy: "policy1")]
        public IActionResult Index1() {
            return View();
        }

    }

这样我访问Home/Index1的时候如果未登陆则直接跳转到Login/Index,登陆以后就会通过CustomAuthorizationHandler这个处理类来进行授权判断,这里面的业务逻辑可以自己来实现,里面都可以拿到当前访问的controller和action,以前用户角色等信息,对权限判断都不成问题了。

Sammy爱学习
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET MVC --- 身份认证与授权
じ☆ve暧メ晴的博客
05-25 541
身份认证的含义:例如在现在浏览的某宝电商网站中会经常遇到的情况,想要将某件商品加入到购物车,点击“加入购物车”之后弹出的却是登录界面。这个就是所谓的请求的身份认证 身份认证与Session 基于Session保存用户状态 基于Session保存用户状态和信息,比如:用户登录信息,相当于授权 在访问具体页面时,如果检测到没有登录,则禁止用户某些动作 不足之处 Session具有生命周期,超过规定时间,用户就必须要重新登录 Session有各种丢失的可能,例如服务器重启,
ASP.NET MVC 项目集合.zip
09-07
ASP.NET MVC 是微软开发的一款用于构建动态Web应用程序的框架,它结合了ASP.NET的优势和Model-View-Controller(MVC)设计模式的灵活性。在这个"ASP.NET MVC 项目集合.zip"压缩包中,可能包含了多个ASP.NET MVC项目...
.net MVC鉴权认证(一)
飞翔的学习笔记
07-31 753
.net MVC鉴权认证过滤器实现
Asp .Net Core 系列:详解鉴权(身份验证)以及实现 Cookie、JWT、自定义三种鉴权 (含源码解析)
最新发布
程序人生
06-07 1375
定义鉴权,又称身份验证,是确定用户身份的过程。它验证用户提供的凭据(如用户名和密码)是否有效,并据此确认用户是否具备访问系统的权利。过程用户向系统提供凭据(如用户名和密码)。系统使用已注册的身份验证服务(如IAuthenticationService)和身份验证处理程序来验证这些凭据的有效性。如果凭据有效,系统将识别并确认用户的身份,然后用户可以访问系统。方式传统的鉴权方式通常依赖于密码验证,但这种方式存在安全风险,如密码泄露或被盗用。
.net MVC鉴权认证(三)
飞翔的学习笔记
07-31 1041
.net core jwt 下鉴权认证
ASP.NET MVC5(五):身份验证、授权
weixin_46879188的博客
12-13 1194
使用Authorize特性进行身份验证   通常情况下,应用程序都是要求用户登录系统之后才能访问某些特定的部分。在ASP.NET MVC中,可以通过使用Authorize特性来实现,甚至可以对整个应用程序全局使用Authorize特性。 Authorize的用法 本节以一个添加产品的示例来说明Authorize的使用方法。首先,创建Product类、添加属性(如下所示)并创建ProductsController(MVC5 Controller with views,using Entity Framewor
ASP.Net MVC Form认证漏洞及处理
WinsonYang的专栏
02-22 397
只能清除客户端的cookies认证信息,并没有方法清除服务端里保存的认证信息,因此若获得了客户端的cookies(里面含有FormsAuthentication生成的ticket认证信息)就可以用如postman等的工具直接访问controler,直到服务端的ticket过期。请求的Controler是继承了AuthorizeAttribute,在浏览器页面中访问时正常鉴权的,而且发现AuthorizeAttribute只对浏览器页面访问生效,用接口工具不能触发。用SSL加密传输,这很普遍,不加阐述。
ASP.NET Core MVC 从入门到精通之鉴权授权基础
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-13 3259
经过前几篇文章的讲解,初步了解ASP.NET Core MVC项目创建,启动运行,以及命名约定,创建控制器,视图,模型,接收参数,传递数据ViewData,ViewBag,路由,页面布局,wwwroot和客户端库,Razor语法,EnityFrameworkCore与数据库,HttpContext,Request,Response,Session,序列化,文件上传,自动映射,Html辅助标签,模型校验等内容,今天继续讲解ASP.NET Core MVC 中。鉴权,又叫身份验证,确定用户身份的过程。
ASP.NET Core MVC 项目 WebApi 鉴权授权
Vin Cente
04-01 1101
一:引用Microsoft.AspNetCore.Authentication.JwtBearer :添加JWTTokenOptions类 三:修改Program.cs文件 四:配置appsettings.json文件 五:修改Controller控制器
ASP.NETMVC中使用Cookie做身份验证(附代码下载)
BADAO_LIUMANG_QIZHI的博客
07-07 658
场景 ASP.NETMVC中使用Session做身份验证(附代码下载): https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/107181028 在上面使用Session做身份验证之后,如果网站很热门,那么使用Session就会造成主机非常大的负担。 使用Cookie做身份验证的主要目的是在于降低主机端的负担。 注: 博客:https://blog.csdn.net/badao_liumang_qizhi 关注公众号 霸道的程序
ASP.NET MVC WebApi接口授权验证
cqzc123的博客
06-02 1313
对于很任何多开发者来说,不管是使用任何一种框架,或者是使用任何一种语言,都要使用面向接口编程。使用面向接口编程的时候,那么就会有很多的权限验证,用户验证等等。 特别是对于一些系统来说,别人想要对接你的系统,同步系统数据,那么就必须要提供对外访问接口。当然,这对外接口也不是随随便便就提供的,对于一些机密数据,那么对于别人想要使用你的数据,那么必须按照一个标准来。我系统对外提供接口,想要用这个接口必须...
ASP.NET MVC项目源代码设计资料
06-08
ASP.NET MVC是一个强大的框架,用于构建可维护性和灵活性极高的Web应用程序。它是Microsoft为开发者提供的一种基于模型-视图-控制器(MVC)设计模式的工具,使得开发人员能够更清晰地分离业务逻辑、数据处理和用户...
ASP.NET MVC5 入门 之登录验证
07-31
ASP.NET MVC5 是微软开发的一款用于构建动态网站的框架,它结合了模型-视图-控制器(MVC)设计模式,使开发者能够更高效地构建可维护和测试的Web应用程序。在本入门教程中,我们将重点探讨如何在ASP.NET MVC5中实现...
ASP.NET MVC5
06-22
学习ASP.NET MVC5,开发者可以掌握Web应用程序的高级开发技巧,包括如何组织项目结构、如何处理用户输入、如何进行数据库操作、如何实现用户认证和授权,以及如何调试和测试代码。"J.T.ASP.NET MVC 5.pdf"这个文件很...
基于ASP.NET MVC项目实例
12-26
- **扩展实践**:尝试添加新功能,如用户认证、角色管理等,以加深对MVC模式的理解。 通过这个项目实例,你将不仅学会如何使用ASP.NET MVC框架,还能掌握Web开发的最佳实践,为未来更复杂的Web应用程序开发打下坚实...
关于Asp.net Core下使用Request.QueryString的问题
飞翔的学习笔记
02-11 7652
在asp.net 下我们可以通过Request.QueryString["id"]来获取传入的参数,但是在asp.netcore下是会报错的。 要改为HttpContext.Request.Query["id"]来获取 记录一下这个知识点 ...
.Net Core使用JWT
飞翔的学习笔记
08-08 5964
.Net Core使用JWT 1.新建WebApi项目JwtDemo 2.通过nuget安装JWT.Net 根据你的版本自行选择合适的版本 3.分别建立三个实体类LoginDto,PlayloadDto,TokenDto public class LoginDto { public string UserId { get; set; } public string Password { get; set; } } public c
swagger中解决Fetch errorInternal Server Error /swagger/v1/swagger.jso
飞翔的学习笔记
03-17 5291
在使用swagger作为api接口文档的时候经常会出现如下的错误 出现此错误的话可以仔细看下控制台, 可以从图中看出,Ambiguous HTTP method for action不明确的HTTP操作方法 查对应的控制器中可以看到没有加上操作特性[HTTPPOST]或[HTTPGET],加上就ok了。 ...
ASP.NET MVC4 编程指南
ASP.NET MVC4 提供了基于 Forms 认证和 Windows 认证认证机制,支持角色-based 认证和基于声明的授权。 8. ASP.NET MVC4 缓存 ASP.NET MVC4 提供了基于输出缓存、数据缓存和 HTTP 缓存的缓存机制,以提高应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值