NET6完整项目实战系列第6篇:用户登录番外篇--app.UseAuthentication()和app.UseAuthorization()的使用(下)

最新推荐文章于 2023-06-07 11:51:54 发布
最新推荐文章于 2023-06-07 11:51:54 发布
阅读量673 收藏
点赞数
文章标签: microsoft 数据库 服务器
原文链接:https://www.cnblogs.com/pfm33/p/16452394.html
版权

要达到最初的设想,需在 Program.cs中启用认证中间件服务 : app.UseAuthentication(); 

同时给 builder.Services.AddAuthentication( ) 处理程序设置对应的方案,如下(红色部分代码):

using Microsoft.AspNetCore.Authentication.Cookies;

var builder = WebApplication.CreateBuilder(args);

builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie();

// Add services to the container.
builder.Services.AddRazorPages();

var app = builder.Build();

// Configure the HTTP request pipeline.
if (!app.Environment.IsDevelopment())
{
    app.UseExceptionHandler("/Error");
    // The default HSTS value is 30 days.
    // You may want to change this for production scenarios,
    // see https://aka.ms/aspnetcore-hsts.
    app.UseHsts();
}

app.UseHttpsRedirection();
app.UseStaticFiles();

app.UseRouting();

app.UseAuthentication();
//app.UseAuthorization();

app.MapRazorPages();

app.Run();

编译后重新运行,在登录页面输入 admin/123 后运行结果如下:

可以看到用户已通过了认证,声明中的值也都打印出来了,至此,整个登录认证过程就完成了。

补充:前面提到“方案”这个词,对应的英文是 Scheme , 那么什么是方案呢?看微软官方文档是如何描述的:

身份验证方案及处理程序的功能在官方文档描述如下:

至于如何去自定义,后续再展开。

接下来,我们来看如何实现不同的角色访问不同的页面。

虽然前面实现了认证,能读取声明中的信息,但以admin的身份登录后是可以访问 UserIndex 页面的,反之亦然,要实现admin账号

只能访问adminmng目录下的页面,步骤如下: 

第1步:在Program.cs中启用授权中间件并设置无权限访问时要跳转的页面,本例中跳转到 Forbidden.cshtml ,代码件红色字体部分:

using Microsoft.AspNetCore.Authentication.Cookies;

var builder = WebApplication.CreateBuilder(args);

builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
    .AddCookie(options => {
        //滑动过期
        options.SlidingExpiration = true;
        //滑动过期时间30分钟,即30分钟内没有访问页面就过期
        options.ExpireTimeSpan = TimeSpan.FromMinutes(30);    
        //无权限访问时跳转到的页面,Pages目录下要有Forbidden.cshtml页面
        options.AccessDeniedPath = "/forbidden";
    });

// Add services to the container.
builder.Services.AddRazorPages();

var app = builder.Build();

// Configure the HTTP request pipeline.
if (!app.Environment.IsDevelopment())
{
    app.UseExceptionHandler("/Error");
    // The default HSTS value is 30 days.
    // You may want to change this for production scenarios,
    // see https://aka.ms/aspnetcore-hsts.
    app.UseHsts();
}

app.UseHttpsRedirection();
app.UseStaticFiles();

app.UseRouting();

app.UseAuthentication();//启用授权中间件
app.UseAuthorization(); 

app.MapRazorPages();

app.Run();
using Microsoft.AspNetCore.Authentication.Cookies;

var builder = WebApplication.CreateBuilder(args);

builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
    .AddCookie(options => {
        //滑动过期
        options.SlidingExpiration = true;
        //滑动过期时间30分钟,即30分钟内没有访问页面就过期
        options.ExpireTimeSpan = TimeSpan.FromMinutes(30);    
        //无权限访问时跳转到的页面,Pages目录下要有Forbidden.cshtml页面
        options.AccessDeniedPath = "/forbidden";
    });

// Add services to the container.
builder.Services.AddRazorPages();

var app = builder.Build();

// Configure the HTTP request pipeline.
if (!app.Environment.IsDevelopment())
{
    app.UseExceptionHandler("/Error");
    // The default HSTS value is 30 days.
    // You may want to change this for production scenarios,
    // see https://aka.ms/aspnetcore-hsts.
    app.UseHsts();
}

app.UseHttpsRedirection();
app.UseStaticFiles();

app.UseRouting();

app.UseAuthentication();
//启用授权中间件
app.UseAuthorization(); 

app.MapRazorPages();

app.Run();

第2步:在 Pages 目录下新增  Forbidden.cshtml ,页面代码如下:

@page
@model WebApplication1.Pages.ForbiddenModel
@{
}

<div>没有权限访问此页面!</div>

第3步:给要设置权限的页面 Model 增加Authorize特性,如下(见红色字体):

AdminIndex.cshtml.cs 页面如下:

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc.RazorPages;

namespace WebApplication1.Pages.AdminMng
{
    [Authorize(Roles ="AdminRole")]
    public class AdminIndexModel : PageModel
    {
        public void OnGet()
        {
        }
    }
}

UserIndex.cshtml.cs 页面如下:

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc.RazorPages;

namespace WebApplication1.Pages.UserMng
{
    [Authorize(Roles = "UserRole")]
    public class UserIndexModel : PageModel
    {
        public void OnGet()
        {
        }
    }
}

至此配置完毕, 最重要的是在登录声明中一定要包含  new Claim(ClaimTypes.Role, roleName)  语句 ! 

注意:和 WEBAPI 不同,RazorPages 的角色授权只能是整个页面(这里是UserIndexModel),不可以具体到页面中的某个方法, 

           而WebAPI既可以是Controller,也可以是Controller中的某个方法(Action)。 

解决方案目录如下:

编译后运行,访问以admin的账号登录,页面如下:

在浏览器的地址栏把网址改成 usermng/userindex 后按 enter 键 ,页面如下:

 可以看到:

1. 网址变成了  forbidden ,并且我们欲访问的页面 usermng/userindex  变成了查询参数 ReturnUrl 的值;

2. 显示了 Forbidden.cshtml 页面的值,这是我们在 Program.cs 的 AddCookie( ) 方法中设置的;

3. 按下 enter 键后访问的页面返回了  302 的状态码, 然后页面发生了跳转;

4. cookie 信息没有改变;

=================结束分割线==============

问题: 如果有一个页面 ,比如  Pages/Common/ModifyPassword.cshtml 只要登录用户都可以访问,不需要区分角色,该如何设置呢?

有2种方法:

其一:在 ModifyPassword.cshtml.cs 中增加 Authorize 特性且不要传递 Roles 属性值,如下(红色字体部分):

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc.RazorPages;

namespace WebApplication1.Pages.Common
{
    [Authorize]
    public class ModifyPasswordModel : PageModel
    {
        public void OnGet()
        {
        }
    }
}

重新编译后清除cookie访问如下:

其二:在 program.cs 中增加 授权约定(authorization conventions) ,如下(红色字体部分):

 

using Microsoft.AspNetCore.Authentication.Cookies;

var builder = WebApplication.CreateBuilder(args);

builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
    .AddCookie(options => {
        //滑动过期
        options.SlidingExpiration = true;
        //滑动过期时间30分钟,即30分钟内没有访问页面就过期
        options.ExpireTimeSpan = TimeSpan.FromMinutes(30);    
        //无权限访问时跳转到的页面,Pages目录下要有Forbidden.cshtml页面
        options.AccessDeniedPath = "/forbidden";
        //无认证时跳转的页面
        options.LoginPath = "/login";        
    });

// Add services to the container.
builder.Services.AddRazorPages(options => {
    //针对文件设置访问权限    
    options.Conventions.AuthorizePage("/Common/ModifyPasswrod");

    //针对文件夹设置访问权限
    //options.Conventions.AuthorizeFolder("/Common");

    //以下设置可以针对文件或文件夹取消访问权限验证
    //options.Conventions.AllowAnonymousToPage("/Common/ModifyPasswrod");
    //options.Conventions.AllowAnonymousToFolder("/Common");
});

var app = builder.Build();

// Configure the HTTP request pipeline.
if (!app.Environment.IsDevelopment())
{
    app.UseExceptionHandler("/Error");
    // The default HSTS value is 30 days.
    // You may want to change this for production scenarios,
    // see https://aka.ms/aspnetcore-hsts.
    app.UseHsts();
}

app.UseHttpsRedirection();
app.UseStaticFiles();

app.UseRouting();

app.UseAuthentication();
app.UseAuthorization();

app.MapRazorPages();

app.Run();

using Microsoft.AspNetCore.Authentication.Cookies; var builder = WebApplication.CreateBuilder(args); builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme) .AddCookie(options => { //滑动过期 options.SlidingExpiration = true; //滑动过期时间30分钟,即30分钟内没有访问页面就过期 options.ExpireTimeSpan = TimeSpan.FromMinutes(30); //无权限访问时跳转到的页面,Pages目录下要有Forbidden.cshtml页面 options.AccessDeniedPath = "/forbidden"; //无认证时跳转的页面 options.LoginPath = "/login"; }); // Add services to the container. builder.Services.AddRazorPages(options => { //针对文件设置访问权限 options.Conventions.AuthorizePage("/Common/ModifyPasswrod"); //针对文件夹设置访问权限 //options.Conventions.AuthorizeFolder("/Common"); //以下设置可以针对文件或文件夹取消访问权限验证 //options.Conventions.AllowAnonymousToPage("/Common/ModifyPasswrod"); //options.Conventions.AllowAnonymousToFolder("/Common"); }); var app = builder.Build(); // Configure the HTTP request pipeline. if (!app.Environment.IsDevelopment()) { app.UseExceptionHandler("/Error"); // The default HSTS value is 30 days. // You may want to change this for production scenarios, // see https://aka.ms/aspnetcore-hsts. app.UseHsts(); } app.UseHttpsRedirection(); app.UseStaticFiles(); app.UseRouting(); app.UseAuthentication(); app.UseAuthorization(); app.MapRazorPages(); app.Run();

编译后访问,和第一种方式的效果相同。。。

  注意:文件夹和页面授权的包含关系如下:  

  * 先指定页面文件夹需要授权,然后指定该文件夹中的页面允许匿名访问,这样操作是有效的:  

  .AuthorizeFolder("/Common").AllowAnonymousToPage("/Common/XxxPage")   // 正确 !          

  * 不可以先为匿名访问声明页面文件夹,然后在该文件夹中指定需要授权的页面                           

  .AllowAnonymousToFolder("/Common").AuthorizePage("/Common/XxxPage")    // 错误!          

【完】

wangxin5576
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[Asp.Net Core]鉴权授权
德仔
12-23 949
鉴权授权 为了拦截一些操作; 传统的授权方式;session/Cookies来完成; 1.在请求某个Action之前去做校验,验证当前操作者是否登录过,登录过就有权限 2.如果没有权限就跳转到登录页中去 AOP–Filter; ActionFilter: 传统的登陆,需要匿名; .NET5鉴权授权 通过中间件来支持; 第一步:在 app.UseRouting();之后,在app.UseEndpoints()之前,增加鉴权授权; 鉴权: app.UseAuthentication();—检测用户是否登录 授权
.net6的JWT的食用记录(一)
chuan920826的专栏
09-23 427
.NET6的JWT使用记录
使用JWT(无Cookie)的ASP.NET CORE令牌认证和授权——第1部分
寒冰屋的专栏
07-15 2672
本文演示如何在Asp.Net CORE中使用JWT(JSON Web令牌)实现令牌认证和授权。本文中使用的方法不使用任何客户端cookie进行身份验证和授权。这意味着,Token不存储在客户端浏览器中,它完全由服务器端处理。由于本文主要关注实现ASP.NET CORE身份验证和授权,因此我们不会深入了解令牌配置和令牌创建。从实现的角度来看,仅给出了令牌配置和创建的简要说明。有许多文章详细解释了它。本文包括完整的代码和LoginDemo.sln项目
NET6完整项目实战系列第4用户登录番外篇--app.UseAuthentication()和app.UseAuthorization()的使用(上)
wangxin5576的博客
05-18 532
a class="nav-link text-dark" asp-area="" asp-page="/Login">登录</a>另外,在webapi出现之后,出现在各种项目中,特别是一些移动端的项目,这时候认证会混合有cookie和JWT等多种方式,在net6中,微软已经集成。的认证信息需要编码写入请求头之后再发送请求,不像浏览器,发送请求时会自动带上cookie信息,不需要编码。出现了JWT这样的认证方式,原理大同小异,相同的是, 认证信息都是保存在请求头中传递的,不同是JWT中。
NET6完整项目实战系列第5用户登录番外篇--app.UseAuthentication()和app.UseAuthorization()的使用(中)
wangxin5576的博客
05-18 531
1.因为 Login.cshtml 页面是 POST 提交,所以 Login.cshtml.cs 中对应的处理方法是 OnPost( ) , 这是 net6 的规则。然后对 Login.cshtml 和 Login.cshtml.cs 文件中做少少改动,增加账号密码的非空校验,最后将登录信息写入cookie中,重新编译后运行,打开浏览器的开发人员工具查看,没有cookie消息(这里的Cookie不是login.cshtml.cs中设置的,new Claim("UserName", "张先生"),
asp.net core 浏览器 允许跨域访问 域名
q8812345qaz的博客
10-01 686
如果需要 跨域访问 可以使用 以下 方法 但不局限于这一种方法 还有一种前端代理 ,比较麻烦就不叙述了。在 app.Environment.IsDevelopment(){} 后 第一个添加 如下 代码。默认 浏览器不支持 跨域访问,就是当前的域名和端口,只能访问 相同域名和端口的 地址页面。在 .net6 webapi 中的 Program.cs 中添加以下代码。前端测试代码 jquery的post发送 json数据。在测试 就不会报 CORS 错误了。
微信小程序 加载 app-service.js 错误解决方法
10-21
主要介绍了微信小程序 加载 app-service.js 错误详解的相关资料,在开发微信小程序过程中出现了app-services.js的错误,并解决此问题,需要的朋友可以参考下
whatsapp-web.js:Nodes的WhatsApp客户端库,通过WhatsApp Web浏览器应用程序连接
01-30
whatsapp-web.js 通过WhatsApp Web浏览器应用程序连接的WhatsApp API客户端 它使用Puppeteer运行Whatsapp Web的真实实例,以避免被阻止。 注意:尽管可以使用此方法,但我不能保证您不会被阻止。 WhatsApp不允许在...
uni-app实战在线教育类app开发-视频教程网盘链接提取码下载.txt
最新发布
11-07
本季度基于uni-app实战开发在线教育类app和小程序,课程包括:图文,音频,视频,电子书、会员、直播、问答、考试、拼团秒杀、优惠券。一次开发,同时搞定Android、iOS、微信小程序、H5端。非常适合具有...
youlai-mall: Spring Cloud + vue3 + uni-app 微服务商城项目
05-04
youlai-mall 是【有来开源组织】基于Spring Boot、Spring Cloud & Alibaba 、Vue3、Element-Plus、uni-app等全栈主流技术栈构建的开源商城项目,涉及后端微服务、 前端管理、 微信小程序和 APP应用等多端的开发。...
uni-app项目.zip uni-app的项目,未完成
01-05
标题"uni-app项目.zip uni-app的项目,未完成"指出这是一个基于uni-app框架的项目,而且目前尚未完成。uni-app是一个由ECharts团队开发的多端开发框架,允许开发者使用Vue.js语法编写一次代码,然后可以跨平台编译到...
学习ASP.NET Core Blazor编程系列二十六——登录(5)
Gefangenes的博客
06-07 1435
既然是抽象类,我们需要自定义一个它的子类,由于是模拟登录,进行登录流程的验证,因此我们先来做一个测试的Provider来试试。在webapi出现之后,出现了JWT这样的认证方式,原理大同小异,相同的是, 认证信息都是保存在请求头中传递的,不同是JWT中的认证信息需要编码写入请求头之后再发送请求,不像浏览器,发送请求时会自动带上cookie信息,不需要编码。现在我们已经完成了登录认证的Provider了,接下來要做的事情,就是让我们的页面上的组件,可以获取登录信息,来决定是登录用户是否已经授权。
收集.NET6中一些常用组件的配置
主宰
10-06 1387
在根目录下新建一个 cs文件,比如Globalusing.cs,在里面添加你的全局引用,和常规引用不同的是,在using前面添加 global有时候我们不想把配置全部放在 appsettings.json ,我们想自己建立一个文件夹来存储其他配置文件,比如config/...json之类的,咋整呢,我们新建个文件夹 config,下面建立一个配置文件app.json,里面存几个配置以便验证。使用前添加如下代码即可。
c#配置swagger文档
qq_53217825的博客
05-16 5295
虽然现在已经有.net8.0了,但是.net6因为已经出来两年了,所以更多公司在用,而且6.0和8.0的差别并不是很大,还是有一些可学的地方的,目前.net core 6.0的资料是最多的,所以搭建项目建议使用6.0会比较好。和上一个基本一致,注释都在代码中有写,在项目属性中开启“生成包含api文档的文件”,开启方法》右键项目》属性》生成》输出》打开“生成包含api的文档的文件”我们的项目地址应该在这里设置,其中以什么方式运行,这个就是基础了,试一下就知道了,勾选openapi支持。
使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分
寒冰屋的专栏
11-18 4079
目录 介绍 JWT(JSON Web令牌) ASP.NET Core中的JWToken配置 用户模型类 创建令牌 第1步 第2步 第4步 令牌存储 中间件 自定义中间件app.Use() 中间件app.UseAuthentication() 自定义中间件代码 登录页面(Index.cshtml) Home控制器 注销(Log Off) 登录演示项目 登录页面 ...
C# Razor .net6 用户登录
qq_28976959的博客
03-24 453
参考资料:https://www.cnblogs.com/pfm33/p/14725660.html 1、Program.cs 加入: builder.Services.AddRazorPages(options =>{   //设置访问路由层级/下的页面都需要经过验证。   options.Conventions.AuthorizeFolder("/");   //因为...
asp.net自定义认证(1)
君的世界的博客
11-28 657
asp.net自定义认证
ASP.NET Core 中的身份认证及鉴权
杂七杂八
11-03 9182
ASP.NET Core中的身份认证功能。
架构,自定义appenvironment
weixin_34208185的博客
06-05 218
2019独角兽企业重金招聘Python工程师标准>>> ...
app.UseAuthentication(); app.UseAuthorization();是什么意思
07-20
`app.UseAuthentication()` 和 `app.UseAuthorization()` 是在 ASP.NET Core 应用程序中配置身份验证和授权的中间件。 - `app.UseAuthentication()` 用于启用身份验证中间件,它会检查传入的请求中是否包含有效的身份验证凭据(如 JWT、Cookie 等),并将用户的身份信息设置到 `HttpContext.User` 属性中。这样,你就可以在后续的请求处理过程中方便地访问用户的身份信息。 - `app.UseAuthorization()` 用于启用授权中间件,它会根据配置的策略来验证用户是否具有访问资源的权限。通过配置不同的策略,你可以限制用户对某些特定资源的访问。如果用户没有满足所需策略的权限,将会收到 403 Forbidden 的响应。 这两个中间件通常在 `Configure` 方法中的管道配置中使用,并且顺序很重要。通常,`app.UseAuthentication()` 应该放在 `app.UseRouting()` 之后,而 `app.UseAuthorization()` 应该放在 `app.UseAuthentication()` 之后。这样可以确保身份验证在路由和授权之前进行。 ```csharp public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { // 省略其他配置... app.UseRouting(); app.UseAuthentication(); app.UseAuthorization(); // 省略其他配置... } ``` 通过使用这两个中间件,你可以在 ASP.NET Core 应用程序中轻松地实现身份验证和授权的功能,以确保只有经过身份验证且具有适当权限的用户可以访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值