net6授权认证源码详解(三)

最新推荐文章于 2024-09-20 09:34:50 发布
最新推荐文章于 2024-09-20 09:34:50 发布
阅读量780 收藏 1
点赞数
分类专栏: 认证授权 文章标签: .netcore c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyun381974024/article/details/126907277
版权

授权

接下来跟着源码来一起学习授权相关知识。

一般的service注入服务方式有如下:

builder.Services.AddAuthorization(option =>
{
    //增加授权策略
    option.AddPolicy("Api1", builder =>
    {
        builder.RequireAuthenticatedUser();
        builder.RequireClaim("scope", "api1");
        builder.AddRequirements(new CustomAuthorizationRequirement("Policy01");
    });
});

这里来一起查看AddAuthorization做了什么事?

源码AddAuthorization路径(aspnetcore/src/Security/Authorization/Policy/src/PolicyServiceCollectionExtensions.cs)。

AddAuthorizationCore注册了AuthorizationOptions配置项内容,此内容会在之后的DefaultAuthorizationPolicyProvider类GetPolicyAsync调用其AuthorizationOptions自身的GetPolicyTask(policyName)方法获取以下AddPolicy配置内容(通过PolicyMap)。

AddAuthorization内的option()=>{},是对AuthorizationOptions进行的配置。看一下具体配置内容。

 大致看代码,就是通过AuthorizationPolicyBuilder配置完成后,build()生成AuthorizationPolicy保存在本身的字典内。

这里讲解具体配置方法具体含义

/*
在类型为List<IAuthorizationRequirement>()的Requirements中
新增"拒绝匿名访问"即为DenyAnonymousAuthorizationRequirement。

DenyAnonymousAuthorizationRequirement的操作HandleRequirementAsync
方法中判断当前用户身份是否存在以及是否认证,如果是,
则在AuthorizationHandlerContext上下文内设置_succeedCalled=true,
_pendingRequirements.Remove(requirement);//移除当前DenyAnonymousAuthorizationRequirement

*/

builder.RequireAuthenticatedUser();

——————————————————————————————————————————————————————————————————————————————————————
/*
在类型为List<IAuthorizationRequirement>()的Requirements中
新增new ClaimsAuthorizationRequirement("scope", "api1")。


ClaimsAuthorizationRequirement的操作HandleRequirementAsync
方法中判断当前用户身份是否存在给定的ClaimType(此处为"scope"),如果是,
则在AuthorizationHandlerContext上下文内设置_succeedCalled=true,
_pendingRequirements.Remove(requirement);//移除当前ClaimsAuthorizationRequirement
*/

builder.RequireClaim("scope", "api1");

——————————————————————————————————————————————————————————————————————————————————————
/*
向Requirements添加自定义IAuthorizationRequirement内容,
此处自定义类为CustomAuthorizationRequirement
*/


builder.AddRequirements(new CustomAuthorizationRequirement("Policy01");

——————————————————————————————————————————————————————————————————————————————————————

AddAuthorizationCore()方法注册一些服务项。

 AddAuthorizationPolicyEvaluator()同样注册了一些服务项。

 至此,AddAuthorization()的内容都了解了,无非是注册了一些服务项,没有额外的其他。

接下来看授权使用,一般的写法如下所示

app.UseAuthorization()

UseAuthorization,路径(aspnetcore/src/Security/Authorization/Policy/src/AuthorizationAppBuilderExtensions.cs)

查看关键代码,AuthorizationMiddleware。

1、context.GetEndPoint()获取EndPointRoutingMiddleware中间选择的终结点,通过endPoint.MetaData获取对应action方法上标注的所有特性(其中AuthorizeAttribute继承自IAuthorizeData)。

2、AuthorizationPolicy.CombineAsync整合IAuthorizeData,AuthorizationPolicy和IAuthorizationRequirementData的数据内容生成完整AuthorizationPolicy(整合内容:Requirements和AuthenticationSchemes,其中Requirements中包含角色roles)。

3、IPolicyEvaluator.AuthenticateAsync(policy, context)验证认证。

4、IPolicyEvaluator.AuthorizeAsync(policy, authenticateResult!, context, resource)验证授权。

 其中,_authorization为DefaultAuthorizationService,涉及到调用AuthorizationServiceExtensions(路径:aspnetcore/src/Security/Authorization/Core/src/AuthorizationServiceExtensions.cs)

 认证核心代码为DefaultAuthorizationService(路径:aspnetcore/src/Security/Authorization/Core/src/DefaultAuthorizationService.cs):

①_contextFactory.CreateContext,获取认证处理上下文。

②_handlers.GetHandlersAsync,最终获取到PassThroughAuthorizationHandler。

 ③handler.HandleAsync,获取所有的Requirements,调用他们自身的HandleAsync方法进行处理。此处自带或者自定义的Requirement都必须继承AuthorizationHandler<>泛型方法,重写HandleRequirementAsync进行逻辑处理。

 重写范例如下DenyAnonymousAuthorizationRequirement:

 自此,net6授权过程的全部源代码讲完了,核心处理就在AuthorizationOption中配置的Requirement中,一张图结束本节内容。

 

wangyun381974024
关注
专栏目录
ASP.NET Core 6.0 角色授权 和 策略授权
夜飞鼠的专栏
07-27 1254
授权时,先要鉴权:找出用户信息,如果能找到用户信息,那就证明用户一定登录过。 这里要求不仅需要用户信息,而且还要有符合某些条件的用户信息,这样才能让请求访问资源。 可以在某个方法/控制器,标记角色,如果要访问这个方法,就必须登录。还要要求用户信息必须包含某个角色。
.Net6中通过自定义Token进行鉴权授权
weixin_38819951的博客
04-16 2632
1、注册自定义token鉴权方案 #region 使用自定义token鉴权方案,进行鉴权 builder.Services.AddAuthentication(config => { config.AddScheme<CtmTokenAuthenticationHandler>("token", "ctmToken"); config.DefaultAuthenticateScheme = "token";//默认鉴权方案改成token config.Defau
认证 (authentication) 和授权 (authorization) 的区别.md
热门推荐
凌晨四点的洛杉矶
09-30 1万+
以前一直分不清 authentication 和 authorization,其实很简单: 举个例子来说: 你要登机,你需要出示你的身份证和机票,身份证是为了证明你张确实是你张,这就是 authentication;而机票是为了证明你张确实买了票可以上飞机,这就是 authorization。 在 computer science 领域再举个例子: 你要登陆论坛,输入用户名张,密...
C#身份验证那些事儿之注册服务AddAuthorizationAddAuthentication
最新发布
hua_chi的专栏
09-20 555
身份验证和授权是两个互补的过程。先通过AddAuthentication设置身份验证,确保你知道用户是谁;然后通过AddAuthorization定义可用的授权策略,基于用户的身份来控制访问。
net6授权认证源码详解(一)
wangyun381974024的博客
09-15 973
net6授权认证源码详解
.NET 6 使用JWT 并搭配策略授权
weixin_42466019的博客
09-12 399
.NET 6 使用JWT 并搭配策略授权
关于.net中的身份认证(AuthorizeAttribute)的问题
weixin_30367543的博客
09-18 337
  引言     新公司当初面试的时候问了我很多用户验证的问题,这里就把我的对于验证的想法写一下,希望可以有一个系统的学习记录。   一、如何验证     B/S结构的请求是http请求,个人理解的http请求有两个特点:1、无状态 2、短连接 (下篇文章会说一下我个人对于http连接的想法)。所以一个请求是否是我们系统的用户我们一般是用Session和Cookie来判断的。请求又可...
.NET MVC】AuthorizeAttribute类进行身份验证
MoFe1的博客
03-31 971
通过使用AuthorizeAttribute类中的方法: AuthorizeCore(HttpContextBase) 重写时,提供一个入口点用于进行自定义授权检查。 HandleUnauthorizedRequest(AuthorizationContext) 处理未能授权的 HTTP 请求。 使用以上两个方法实现用户的身份校验 使用方法: 继承AuthorizeAttribute类并重写AuthorizeAttribute类中的AuthorizeCore方法 如: publi...
Identityserver4客户端授权模式源码
09-26
6. **实践应用**:这个源码实例可用于构建自己的认证服务器,或者理解如何在实际项目中集成Identityserver4来处理客户端授权。 通过这个源码学习,开发者不仅可以掌握Identityserver4的基本使用,还能深入理解OAuth...
IdentityServer4认证授权模式详解源码实现
以下将详细介绍这五种认证授权模式的概念及其在IdentityServer4中的源码实现。 1. 密码模式(Resource Owner Password Credentials Grant) 密码模式是最直接的认证方式,客户端直接收集用户的用户名和密码,然后...
话说Spring Security权限管理(源码详解
08-31
`AccessDecisionManager`的`decide()`方法是授权过程的关键,它接收个参数:`Authentication`对象(代表当前用户的身份信息),`Object object`(表示请求访问的资源),以及`Collection<ConfigAttribute>`(资源...
7、DRF实战总结:JWT认证原理和使用,以及第方库simplejwt 的详解源码
04-05
JSON Web Token(JWT)是一种用于认证授权的开放标准,允许在客户端和服务器之间传递信息,以验证用户身份和授权访问特定资源。它定义了一种紧凑且自包含的方式,用于各方之间安全地将信息以JSON对象传输。由于此...
基于PHP的域名授权系统完整下载(域名授权正版查询系统支持二次开发)源码.zip
01-15
《基于PHP的域名授权系统构建详解》 在互联网领域,软件授权系统是保障开发者权益、规范市场秩序的重要工具。PHP作为一款广泛使用的服务器端脚本语言,被众多开发者用于构建各种复杂的Web应用,包括域名授权系统。...
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt给用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
.NET6使用jwt进行权限验证
心宇逆熵
01-04 1525
.NET 6中,使用JSON Web Token (JWT) 进行权限验证是一种常见的做法。JWT是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间作为JSON对象传递信息。正好在最近需要写一个使用jwt鉴权的功能,下面是代码。在登录认证成功后生成token并返回。
.Net6基于IdentityServer4配置服务授权以及策略授权
qq_41974094的博客
05-04 558
上面的认证授权配置没有权限的概念,只要AccessToken符合认证授权服务生成的规则就可以访问接口。在实际的开发中,有些接口是只允许。源码地址:https://gitee.com/nzyGetHub/Microservice2.git。的角色,获取到的AccessToken可以正常访问接口。中,配置了认证授权服务。这篇配置接口访问时进行授权。接下来配置策略授权,改造一下上面的代码。先获取AccessToken,再请求接口。这样认证授权配置就可以了。的.Net6项目,引用包源。
ASP.NET MVC自定义AuthorizeAttribute篇知识点讲解—登录限制
weixin_30872671的博客
08-10 248
1.前言   a.微软对ASP.NET的开发从WebForm到MVC的转变,已经正式过去5,6个年头,现在WebForm和MVC也都越来越完善,小小算来我也已经工作了将近年,从大学的时候学习ASP.NET WebForm,感觉这就是我们以后吃饭的技术,所以当时可劲的学习拖各种控件,学习做各种各样的小项目,但是没想到的是,从大学最后一学期参加实习开始到现在也就一直没有机会接触ASP.NET We...
Asp.Net Core AuthorizeAttribute 和AuthorizeFilter 跟进及源码解读
Jlion 技术博客
03-25 3029
一、前言 IdentityServer4已经分享了一些应用实战的文章,从架构到授权中心的落地应用,也伴随着对IdentityServer4掌握了一些使用规则,但是很多原理性东西还是一知半解,故我这里持续性来带大家一起来解读它的相关源代码,本文先来看看为什么Controller或者Action中添加Authorize或者全局中添加AuthorizeFilter过滤器就可以实现该资源受到保护,需要通过...
微信授权登录源码微信公众号关注授权登录源码扫码关注微信公众号授权登录源码.txt
03-10
#### 、微信授权登录源码解析 给定文件中提到的是“微信授权登录源码”,但并未提供具体代码。通常情况下,这种源码会包括以下关键部分: 1. **授权页面的生成**: - 这部分代码负责生成微信授权的链接,链接中...
APP授权注册系统源码
05-05
《APP授权注册系统源码详解》 在移动互联网时代,APP已经成为我们日常生活和工作中不可或缺的一部分。而一个良好的APP授权注册系统对于确保用户体验、保护开发者权益以及维护应用生态的健康至关重要。本文将深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值