利用Asp.Net的Identity控制登录权限

最新推荐文章于 2019-08-09 18:43:22 发布
最新推荐文章于 2019-08-09 18:43:22 发布
阅读量155 收藏
点赞数
原文链接:http://www.cnblogs.com/zhangqi0924/p/8298247.html
版权

一直对Asp.Net的MVC中的AuthorizeAttribute控制登录感到很困惑,这几天研究了一下,大概了解了一下整个流程,写出来记录一下。

场景:1.即使没有登录,也可以访问一些可以匿名访问的Action。

   2.对于登录来说,如果在某个地方登录成功,那么在缓存没清除或者过期之前,下次再进入该系统的话,正常情况是不需要再次登录的。

     3.对于需要登录的Action,如果匿名请求,那么需要跳转到登录页面。

 

如以下流程图:

 

这张流程图只是大概描述了一下登录的过程。还有其他的细节,暂不考虑。

 

再说一下AuthorizeAttribute的验证原理:

验证登录的机制,无非是根据请求的数据判断用户是否已经登录。AuthorizeAttribute进行权限判断的依据是如果登录成功在浏览器中设置加密Cookie,每次发送请求都把Cookie发送回服务器进行验证。

我根据自己的理解。画了如下流程图。

下面只列出部分关键代码:

1.创建User类,继承自Microsoft.AspNet.Identity.IUser,实现UserName属性。

   public class User : IUser
    {
        public User(List<string> tels, List<string> mails, string password)
        {
            Id = Guid.NewGuid().ToString("N");
            Tels = tels;
            Mails = mails;
            Password = password;
        }

        public string Id { get; set; }

        public string Password { get; set; }

        public string Name { get; set; }

        public string Address { get; set; }

        public List<string> Tels { get; set; }

        public List<string> Mails { get; set; }

        public string Company { get; set; }

        public string Job { get; set; }

        public string Image { get; set; }


        public string UserName
        {
            get
            {
                return Name;
            }
            set
            {
                Name = value;
            }
        }
    }
User

 

2.创建了IUserService接口,继承自Microsoft.AspNet.Identity.IUserStore<User>;;

    public interface IUserService : IUserStore<User>
    {
        bool RegisterByTel(string tel, string pwd);

        bool RegisterByMail(string mail, string pwd);

        bool LoginByTel(User user);

        bool LoginByMail(string mail, string pwd);

        bool UpdateUser(LinkMan linkMan);

        bool LoginByMail(User user);
    }
IUserService

 

3.创建自定义验证其,继承自AuthorizeAttribute,并且添加到全局过滤:

  public class FilterConfig
    {
        public static void RegisterGlobalFilters(GlobalFilterCollection filters)
        {
            filters.Add(new HandleErrorAttribute());
            filters.Add(new MyAuthorizeAttribute());
        }
    }

    public class MyAuthorizeAttribute : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            if (!filterContext.HttpContext.User.Identity.IsAuthenticated) // 未登录
            {
                var attr = filterContext.ActionDescriptor.GetCustomAttributes(typeof(AllowAnonymousAttribute), true);
                bool allowAnonymous = attr.Any(a => a != null);
                if (allowAnonymous)
                    return;

                var identityName = filterContext.HttpContext.User.Identity.Name;
                if (string.IsNullOrEmpty(identityName))
                {
                    filterContext.Result = new RedirectResult("/Default/Login/Index");
                }
            }
            base.OnAuthorization(filterContext);
        }
    }
FilterConfig

该过滤器,只是简单的过滤器,没太复杂的业务逻辑。

 

4.在登录成功后,设置标记。

   user.UserName = telOrMail;
                var identity = new Microsoft.AspNet.Identity.UserManager<User>(ServiceFactory.NewUserService()).CreateIdentityAsync(user, DefaultAuthenticationTypes.ApplicationCookie).Result;
                HttpContext.GetOwinContext().Authentication.SignIn(new AuthenticationProperties() { IsPersistent = true }, identity);
LoginSuccess

这里只列出了关键代码,没列出登录的所有代码,

 

 

以上的这些步骤就实现了所列出的3个场景。

转载于:https://www.cnblogs.com/zhangqi0924/p/8298247.html

weixin_30512043
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NET系统用户权限设计与实现(转摘)
自强学堂
04-21 1710
引言    电子商务系统对安全问题有较高的要求,传统的访问控制方法DAC(Discretionary Access Control,自主访问控制模型)、MAC(Mandatory Access Control,强制访问控制模型)难以满足复杂的企业环境需求。因此,NIST(National Institute of Standards and Technology,美国国家标准化和技术委员会)于90
asp.net core项目mvc权限控制:分配权限
01-20
总结来说,ASP.NET Core Identity 提供了强大的权限管理工具,允许开发者通过角色和用户 Claims 来控制访问权限。通过理解这些基础概念和使用提供的API,你可以构建出灵活且安全的权限控制系统。同时,利用扩展性,...
ASP.NET系统用户权限设计与实现
Alinker
12-30 1472
  摘 要 本文依据RBAC的基本思想,利用ASP.NET中的用户控件技术,设计了在电子商务系统中用户权限控制的一种具体实现方法。  关键词 ASP.NET 角色访问控制 用户控件   引言  电子商务系统对安全问题有较高的要求,传统的访问控制方法DAC(Discretionary Access Control,自主访问控制模型)、MAC(Mandatory
Asp.net Identity身份与权限体系设计
weixin_30768661的博客
12-15 289
1 Identity 介绍 2 授权系统 图1 体系结构 3 自定义 Attribute 自定义 Attribute 继承于 AuthorizeAttribute,AuthorizeAttribute 具有 Roles 与 Users 属性,如果直接使用则可以对角色和用户进行权限控制。在本体系中最终的权限校验落地于 Claim,Claim 具有公共属性如下: ...
ASP.NET操作Word的权限配置
weixin_30876945的博客
04-20 225
ASP.NET账号在默认情况下是没有权限操作Microsoft Office对象的,如果不进行权限的配置,代码会抛出类似以下的异常: 检索 COM 类工厂中 CLSID 为 {00024500-0000-0000-C000-000000000046} 的组件时失败,原因是出现以下错误: 80070005。 这样给Asp.NET操作Microsoft Office对象带来了一定的困难。但我们还...
asp.net后台权限管理
weixin_30355437的博客
08-09 658
后台权限管理,其实当做过了,了解自己熟悉的模式以后,在做就老马识路了。当然这个有很多种方法。 小弟在此讲解下自己在公司内学到的 首先有管理员表Manager MID     MUserName   MPws GroupID 1 aa aa 1000 2 bb bb ...
asp.net webform 注册登录Demo
02-23
4. ** Membership 和 Role Provider**:ASP.NET提供了一套预定义的成员资格(Membership)和角色(Role)系统,可以简化用户管理和权限控制。通过配置`web.config`文件,我们可以使用这些内置服务进行注册、验证和...
ASP.NET Identity Custom MySQL
08-26
ASP.NET Identity是一个强大的身份认证框架,它为ASP.NET应用程序提供了用户管理和权限控制的功能。这个框架默认使用SQL Server数据库,但开发者可以根据需求将其自定义为使用MySQL数据库,这就是"ASP.NET Identity ...
ASP.NET编程知识】asp.net core利用AccessControlHelper实现控制访问权限.docx
05-15
"ASP.NET Core 访问权限控制" 本文将介绍如何使用 ASP.NET Core 的 AccessControlHelper 实现访问权限控制。AccessControlHelper 是一个基于 ASP.NET Core 的权限控制组件,支持 ASP.NET Core 2.0 及以上版本。 ...
asp.net2.0简单用户权限管理、站点登录、导航与权限管理
vidvan的专栏
07-12 1277
由于基础数据维护模块和一些系统性的配置只允许管理员操作,不想动用数据库来做用户和权限管理,想利用asp.net2.0自带的用户角色管理.1.首先在web.config文件的的节点下添加管理员的基本信息
identityserver 权限控制
歇息的专栏
05-06 910
我们都知道identityserver是一个认证授权的框架,认证是用openid实现的,授权是基于oauth2.0实现的, OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散性。OpenID 的创建基于这样一个概念:我们可以通过 URI (又叫 URL 或网站地址)来认证一个网站的唯一身份,同理,我们也可以通过这种方式来作为用户的身份认证。 OAuth(开放授权)是一个开放标...
ASP.NET权限管理(一)
weixin_30951743的博客
08-14 844
asp.net后台管理系统开发中,有一个永远绕不过去的核心功能,那就是权限管理。他使你的整个管理系统活了过来,可以适应公司不同职位人员的使用。 下边是我搭得简易界面效果图: 1、基本需求 看界面你就知道,你首先最少应该有三个模块显示,包括你的模块管理、角色管理、管理员的人员管理。 在数据库中你最少需要四个表,其他的看个人需要了。这四个表分别是 Module(模块表...
[.Net MVC] 用户角色权限管理_使用CLK.AspNet.Identity
weixin_30911451的博客
09-02 93
项目:后台管理平台 意义:一个完整的管理平台需要提供用户注册、登录等功能,以及认证和授权功能。 一、为何使用CLK.AspNet.Identity   首先简要说明所采取的权限控制方式。这里采用了基于角色的方式,基于角色的权限控制,就是将程序的操作按权限进行分组,每一个组对应一个角色,如果某个用户想访问某个操作,必须赋予这个用户相应的角色,换句话说,如果用户不属于这个操作所属的角色,这个...
asp.net权限控制的方式
weixin_30920853的博客
07-07 252
我们在使用asp.net开发Web程序的时候经常需要进行一些权限控制,如: 限制用户没有登陆就无法查看一些页面,又或者是说登陆之后如果不是管理员,或是没有响应的权限就无法进行相关的操作。 实现的方法有很多,最简单也是最笨的方式就是在每个需要权限控制的页面都写一段代码来进行逻辑判断, 在高级一点就是将这些个代码抽象出来形成一个方法,需要使用时调用即可。 之前的之前,我也是用上...
.NET 实现自定义ContextUser的Identity和Principal实现自定义用户信息,权限验证。
热门推荐
MSDNXGH的专栏
10-21 1万+
.NET 实现自定义ContextUser的Identity和Principal  在传统的.NET中,我们可以通过   User.Identity.Name;//获取用户名 User.Identity.IsAuthenticated;//判断用户是否己验证 User.IsInRole("Admin");//判断用户是否含有指定角色
ASP.NET MVC 通用角色权限管理系统
LiuCabbage
06-20 2410
RightControl 介绍 .NET 通用后台角色权限管理系统,已完成。 项目地址:http://rightcontrol.baocaige.top/Admin/Login 码云地址:https://gitee.com/Liu_Cabbage/RightControl 软件架构 通用三层架构,面向接口编程。 技术选型 MVC5 Mysql Dapper Autofac La...
ASP.NET专题研究——登录权限
weixin_30377461的博客
04-19 100
(一)关于“权限验证”的基础知识: 通常我们注意到有这样一个现象:在某些论坛中我们可以查看别人的帖子,但是如果你点击了回复,不是跳转到Reply类似的回复页面而是跳转到了Login.aspx页面。如果您不知道ASP.NET中还存在着这么一个可以方便检测是否是匿名用户登录的功能,通常你会选择Session去记录,简略的代码往往是这样: 先写一个类,直接继承于System.Web.UI.Pa...
Asp.net有关访问页面权限的限制和错误页面配置
weixin_34401479的博客
11-25 256
一、访问页面权限的限制 一个小项目,涉及到用户登录。 在用户没登录访问内容也时,对页面做一定限制,没登录的则不能访问,直接跳转到登录界面。 /// <summary> /// 对没有登录用户,访问需要登录页面做限制 /// 思路:判断Session中是否有userInfo的信息没有则跳转到登录页面 /// 方案:1,自定义一个类,继承Sy...
asp.net mvc的实现权限管理
最新发布
11-15
ASP.NET MVC 实现权限管理可以采用以下方式: 1. 角色和权限的定义:在系统中定义不同的角色和相应的权限,如管理员、普通用户等。可以通过数据库表或配置文件的方式进行定义。 2. 登录认证:用户在系统中进行登录...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值