NET6完整项目实战系列第4篇:用户登录番外篇--app.UseAuthentication()和app.UseAuthorization()的使用(上)

最新推荐文章于 2024-04-20 07:30:42 发布
最新推荐文章于 2024-04-20 07:30:42 发布
阅读量531 收藏 1
点赞数
文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxin5576/article/details/130746899
版权

作者:屏风马

出处:屏风马 - 博客园

本文版权归作者和博客园共有,转载请注明原文链接和出处。

在开始正式项目编码之前,单独开篇来详细介绍一下登录,因为一个web应用最基本也是最重要的功能之一就是

用户身份的识别及授权,虽然它们用net6实现起来非常简单,但如果处理不好,会使后续和权限有关的操作和业务

功能过度耦合,导致维护和扩展非常困难。要展开这个问题,我们先看看登录的几种场景:

1. 表单账号密码登录(或者手机验证码登录)。

2. SSO单点登录;

3. 第3方账号登录,比如微信、微博登录。

4. 多重身份验证 (MFA) ;

尽管登录方式有多种多样,但本质原理是一样的,以网页应用为例,一般的流程是:

用户打开登页--》输入账号密码后提交表单--》服务端验证成功后生成cookie信息写入浏览器--》之后用户访问页面时

浏览器会带上此cookie信息作为用户标识--》服务端解析此cookie信息就能识别这个用户了。另外,在webapi出现之后,

出现了JWT这样的认证方式,原理大同小异,相同的是, 认证信息都是保存在请求头中传递的,不同是JWT中

的认证信息需要编码写入请求头之后再发送请求,不像浏览器,发送请求时会自动带上cookie信息,不需要编码。

当然,随着一些前端技术比如Vue、Angular , React的兴起,一些web应用借助ABP框架实现前后端分离,单页应用开始

出现在各种项目中,特别是一些移动端的项目,这时候认证会混合有cookie和JWT等多种方式,在net6中,微软已经集成

了ASP.NET Core Identity 认证(Identity :微软官网称为“标识”),它是采用SQL SERVER数据库表存储用户信息,

透过它只需要做一些配置就可以实现强大的认证功能。 虽然Identity ASP.NET Core是一个完整的功能齐全的身份验证

提供程序,但这不是本篇的重点,后续也不打算使用它,只聚焦题旨。

为了更好的掌握net6的认证原理,我们先设置一个使用场景:

1.web网站;

2. cookie认证;

3.部分页面可以匿名浏览,但管理页面必须认证后才能浏览;

4.管理页面分普通用户管理页和管理员管理页,即认证后的用户按角色不同浏览权限不同。

要实现上面的4点功能,我们先建一个.net6的web app项目,目录结构如下:

打开Program.cs,其内容如下:

可以看到,和认证权限有关的只有这一行代码:

app.UseAuthorization();

接下来我们再做一些准备工作,在 Pages 目录下:

1. 新增一个页面 Login.cshtml , 用来让用户输入账号密码。

2. 新增一个UserMng的文件夹,里面新建UserIndex.cshtml文件,用来存放普通用户相关的页面。

3. 新增一个AdminMng的文件夹,里面新建AdminIndex.cshml文件,用来存放管理员相关的页面。

建好后的目录如下:

固定使用2个账号:

admin/123只能访问管理页面,即AdminMng文件夹下的页面;

user/123只能访问用户页面,即UserMng文件夹下的页面;

修改_Layout.cshtml页面,新增一个指向登录页的超链接,见蓝色背景代码如下:

<div class="navbar-collapse collapse d-sm-inline-flex justify-content-between">
                    <ul class="navbar-nav flex-grow-1">
                        <li class="nav-item">
                            <a class="nav-link text-dark" asp-area="" asp-page="/Index">Home</a>
                        </li>
                        <li class="nav-item">
                            <a class="nav-link text-dark" asp-area="" asp-page="/Privacy">Privacy</a>
                        </li>
                        <li class="nav-item">
                            <a class="nav-link text-dark" asp-area="" asp-page="/Login">登录</a>
                        </li>
                    </ul>
                </div>

在Login.cshtml文件中增加一个登录表单,post方式提交,代码如下:

@page
@model WebApplication1.Pages.LoginModel
@{
}

<form method="post">
    账号:<input name="acc" /> <br /><br />
    密码:<input name="pwd" /> <br /><br />
    <input type="submit" name="send" value="确定" />
</form>

运行网站后,点击“登录”链接,页面如下:

接下来我们编码实现上面场景中的登录和授权功能。

wangxin5576
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微信小程序 加载 app-service.js 错误解决方法
10-21
主要介绍了微信小程序 加载 app-service.js 错误详解的相关资料,在开发微信小程序过程中出现了app-services.js的错误,并解决此问题,需要的朋友可以参考下
whatsapp-web.js:Nodes的WhatsApp客户端库,通过WhatsApp Web浏览器应用程序连接
01-30
whatsapp-web.js 通过WhatsApp Web浏览器应用程序连接的WhatsApp API客户端 它使用Puppeteer运行Whatsapp Web的真实实例,以避免被阻止。 注意:尽管可以使用此方法,但我不能保证您不会被阻止。 WhatsApp不允许在...
NET6完整项目实战系列第5篇:用户登录--app.UseAuthentication()和app.UseAuthorization()的使用(中)
wangxin5576的博客
05-18 525
1.因为 Login.cshtml 页面是 POST 提交,所以 Login.cshtml.cs 中对应的处理方法是 OnPost( ) , 这是 net6 的规则。然后对 Login.cshtml 和 Login.cshtml.cs 文件中做少少改动,增加账号密码的非空校验,最后将登录信息写入cookie中,重新编译后运行,打开浏览器的开发人员工具查看,没有cookie消息(这里的Cookie不是login.cshtml.cs中设置的,new Claim("UserName", "张先生"),
NET6完整项目实战系列第6篇:用户登录--app.UseAuthentication()和app.UseAuthorization()的使用(下)
wangxin5576的博客
05-18 664
注意:和 WEBAPI 不同,RazorPages 的角色授权只能是整个页面(这里是UserIndexModel),不可以具体到页面中的某个方法,虽然前面实现了认证,能读取声明中的信息,但以admin的身份登录后是可以访问 UserIndex 页面的,反之亦然,要实现admin账号。2. 显示了 Forbidden.cshtml 页面的值,这是我们在 Program.cs 的 AddCookie( ) 方法中设置的;//无权限访问时跳转到的页面,Pages目录下要有Forbidden.cshtml页面。
.net6项目模板搭建教程
最新发布
低码开发
04-20 347
2.集成automapper。3.响应json时间本地化。5.集成sqlsugar。1.集成log4net
UseAuthenticationUseAuthorization
林舜煌的专栏
09-25 7440
Authentication跟Authorization的区别 这两个单词长的十分相似,而且还经常一起出现,很多时候容易搞混了 Authentication(认证) 明确是你谁,确认是不是合法用户。常用的认证方式有用户名密码认证。 Authorization(授权) 明确你是否有某个权限。当用户需要使用某个功能的时候,系统需要校验用户是否需要这个功能的权限。 所以这两个单词是不同的概念,不同层次的东西。UseAuthorization在asp.net core 2.0中是没有的。在3.0之后微软
.net core .net6 Form Cookie Login 认证
曲滨_銘龘鶽
08-12 866
.net core , Form(表单) Cookie 的最简登录
在.NET Core中,UseAuthenticationUseAuthorization区别
xwq723521的博客
10-12 503
它会检查传入的 HTTP 请求是否包含有效的身份验证凭据,例如 Cookie 或 JWT,如果没有,则会将用户重定向到登录页面或返回 401 未授权响应。它会检查用户是否具有访问特定资源的权限,如果没有,则会返回 403 禁止访问响应。中间件用于授权用户访问资源。中间件,以确保用户已被验证。在Program中添加中间件。中间件用于验证用户身份。中间件之前,必须先调用。
uni-app实战在线教育类app开发-视频教程网盘链接提取码下载.txt
11-07
本季度基于uni-app实战开发在线教育类app和小程序,课程包括:图文,音频,视频,电子书、会员、直播、问答、考试、拼团秒杀、优惠券。一次开发,同时搞定Android、iOS、微信小程序、H5端。非常适合具有...
youlai-mall: Spring Cloud + vue3 + uni-app 微服务商城项目
05-04
youlai-mall 是【有来开源组织】基于Spring Boot、Spring Cloud & Alibaba 、Vue3、Element-Plus、uni-app等全栈主流技术栈构建的开源商城项目,涉及后端微服务、 前端管理、 微信小程序和 APP应用等多端的开发。...
uni-app项目.zip uni-app项目,未完成
01-05
标题"uni-app项目.zip uni-app项目,未完成"指出这是一个基于uni-app框架的项目,而且目前尚未完成。uni-app是一个由ECharts团队开发的多端开发框架,允许开发者使用Vue.js语法编写一次代码,然后可以跨平台编译到...
ASP.NET Core Authentication认证实现方法
12-17
追本溯源,从使用开始     首先看一下我们通常是如何使用微软自带的认证,一般在Startup里面配置我们所需的依赖认证服务,这里通过JWT的认证方式讲解 public void ConfigureServices(IServiceCollection services) { services.AddAuthentication(authOpt => { authOpt.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; authOpt.DefaultChallengeScheme =
appweb总结2-User Authentication
my88site的专栏
07-16 827
Appweb implements a powerful and flexible authentication framework that verifies username and password and verifies client capabilities using a role based authorization mechanism. 一、Authentication
.net中的认证(authentication)与授权(authorization)
lalala003的专栏
04-26 636
http://kb.cnblogs.com/page/72452/\ 用Membership/Role做过asp.net开发的朋友们,看到这二个接口的定义,应该会觉得很眼熟,想想我们在Asp.Net页面中是如何判断用户是否登录以及角色的? HttpContext ctx = HttpContext.Current; if (ctx.User.Identity.IsAuthe
使用.NET 6开发TodoList应用(填坑1)——实现当前登录用户获取
pythonxxoo的博客
01-19 1241
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 系列导航及源代码 使用.NET 6开发TodoList应用文章索引 需求 在前面的文章里使用.NET 6开发TodoList应用(5)——领域实体创建,我们留了一个坑还没有填上,就是在数据库保存的时候,CreateUser和ModifiedUser我们当时填的都是Anon
UseAuthenticationUseAuthorization的区别
weixin_42888250的博客
05-26 1514
这两个单词长的十分相似,而且还经常一起出现,很多时候容易搞混了 Authentication(认证):常用的认证方式有用户名密码认证。 Authorization(授权):明确你是否有某个权限。当用户需要使用某个功能的时候,系统需要校验用户是否需要这个功能的权限。 所以这两个单词是不同的概念,不同层次的东西。UseAuthorization在asp.net core 2.0中是没有的。在3.0之后微软明确的把授权功能提取到了Authorization中间件里,所以我们需要在UseAuthentication
C# Razor .net6 用户登录
qq_28976959的博客
03-24 449
参考资料:https://www.cnblogs.com/pfm33/p/14725660.html 1、Program.cs 加入: builder.Services.AddRazorPages(options =>{   //设置访问路由层级/下的页面都需要经过验证。   options.Conventions.AuthorizeFolder("/");   //因为...
.NET 6 支持Cookie与JWT混合认证、授权的方法
What If...
11-26 3088
而网站电脑端使用Cookie提供会员登录,移动端使用JWT提供会员登录。这时,这个网站项目就需要同时支持Cookie和JWT
ASP.NET没有魔法——ASP.NET Identity 的“多重”身份验证
weixin_30260399的博客
11-30 321
 ASP.NET Identity除了提供基于Cookie的身份验证,还提供了一些高级功能,如多次输入错误账户信息后会锁定用户禁止登录、集成第三方验证、账户的二次验证等,并且ASP.NET MVC的默认模板中就带有这些功能。   本文将从以下几个方面解释ASP.NET Identity是如何实现身份验证机制的:   ● ASP.NET Identity的“多重”身份验证   ● ...
app.UseAuthentication(); app.UseAuthorization();是什么意思
07-20
`app.UseAuthentication()` 和 `app.UseAuthorization()` 是在 ASP.NET Core 应用程序中配置身份验证和授权的中间件。 - `app.UseAuthentication()` 用于启用身份验证中间件,它会检查传入的请求中是否包含有效的身份验证凭据(如 JWT、Cookie 等),并将用户的身份信息设置到 `HttpContext.User` 属性中。这样,你就可以在后续的请求处理过程中方便地访问用户的身份信息。 - `app.UseAuthorization()` 用于启用授权中间件,它会根据配置的策略来验证用户是否具有访问资源的权限。通过配置不同的策略,你可以限制用户对某些特定资源的访问。如果用户没有满足所需策略的权限,将会收到 403 Forbidden 的响应。 这两个中间件通常在 `Configure` 方法中的管道配置中使用,并且顺序很重要。通常,`app.UseAuthentication()` 应该放在 `app.UseRouting()` 之后,而 `app.UseAuthorization()` 应该放在 `app.UseAuthentication()` 之后。这样可以确保身份验证在路由和授权之前进行。 ```csharp public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { // 省略其他配置... app.UseRouting(); app.UseAuthentication(); app.UseAuthorization(); // 省略其他配置... } ``` 通过使用这两个中间件,你可以在 ASP.NET Core 应用程序中轻松地实现身份验证和授权的功能,以确保只有经过身份验证且具有适当权限的用户可以访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值