IAbpSession的实现与OWIN

最新推荐文章于 2019-06-27 16:11:05 发布
最新推荐文章于 2019-06-27 16:11:05 发布
阅读量171 收藏
点赞数
文章标签: 数据库 测试
原文链接:http://www.cnblogs.com/wangwzg/p/6217033.html
版权

IAbpSession

在AbpController中,通过属性注入的方式注入IAbpSession对象。

IAbpSession的实例ClaimsAbpSession。

    public class ClaimsAbpSession : IAbpSession, ISingletonDependency
    {
        public virtual long? UserId
        {
            get
            {
                var userIdClaim = PrincipalAccessor.Principal?.Claims.FirstOrDefault(c => c.Type == ClaimTypes.NameIdentifier);
                if (string.IsNullOrEmpty(userIdClaim?.Value))
                {
                    return null;
                }

                long userId;
                if (!long.TryParse(userIdClaim.Value, out userId))
                {
                    return null;
                }

                return userId;
            }
        }

        public virtual int? TenantId
        {
            get
            {
                if (!MultiTenancy.IsEnabled)
                {
                    return MultiTenancyConsts.DefaultTenantId;
                }

                var tenantIdClaim = PrincipalAccessor.Principal?.Claims.FirstOrDefault(c => c.Type == AbpClaimTypes.TenantId);
                if (string.IsNullOrEmpty(tenantIdClaim?.Value))
                {
                    return null;
                }

                return Convert.ToInt32(tenantIdClaim.Value);
            }
        }
View Code

 PrincipalAccessor.Principal指的是ClaimsPrincipal类型的对象。该对象获得的方式如下:

 public virtual ClaimsPrincipal Principal => Thread.CurrentPrincipal as ClaimsPrincipal;

public static IPrincipal CurrentPrincipal
{
    [System.Security.SecuritySafeCritical]  // auto-generated
    get
    {
        lock (CurrentThread)
        {
            IPrincipal principal = (IPrincipal)
                CallContext.Principal;
            if (principal == null)
            {
                principal = GetDomain().GetThreadPrincipal();
                CallContext.Principal = principal;
            }
            return principal;
        }
    }

    [System.Security.SecuritySafeCritical]  // auto-generated
    [SecurityPermissionAttribute(SecurityAction.Demand, Flags=SecurityPermissionFlag.ControlPrincipal)]
    set
    {
        CallContext.Principal = value;
    }
}
View Code

 Thread.CurrentPrincipal通过CallContext.Principal或GetDomain().GetThreadPrincipal(). 获得IPrincipal对象。

无论通过哪种方式,该IPrincipal对象,都是从请求上下文获得的。

因此:IAbpSession保存的值是从请求上下文获得的,应用程序必然在某个时刻,将值保存到请求上下文中。这一步是通过OWIN实现的。

 

与IAbpSession相关的OWIN

在MVC项目App_Start文件夹添加Startup文件。

    public class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            app.UseCookieAuthentication(new CookieAuthenticationOptions
            {
                AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
                LoginPath = new PathString("/"),
                CookieSecure = CookieSecureOption.Never,
            });
        }
View Code

 这一步的作用是向请求管道注册了一个事件。该事件在请求处理的Authenticate阶段执行,执行的内容是获得请求上下文的cookie(string字符串),经过解码和解密,将键值对保存成多个Claim类型的对象,并将这些Claim对象集合保存到ClaimsIdentity类型的对象Claims属性中。

ClaimsIdentity类型中的Claims属性:public virtual IEnumerable<Claim> Claims { get; }

ClaimsIdentity类型的对象又被上下文所引用。

因此可理解:Thread.CurrentPrincipal as ClaimsPrincipal 即是指这个解密出来的ClaimsIdentity对象。

 

如何将用户信息保存到上下文,并加密到cookie

AuthenticationManager类型

 internal class AuthenticationManager : IAuthenticationManager

 为控制器添加如下属性:

        private IAuthenticationManager AuthenticationManager
        {
            get
            {
                return HttpContext.GetOwinContext().Authentication;
            }
        }
View Code

 HttpContext.GetOwinContext().Authentication返回的即是AuthenticationManager类型的对象;

该类型有两个方法,负责登录和登出。

public void SignIn(AuthenticationProperties properties, params ClaimsIdentity[] identities)
public void SignOut(AuthenticationProperties properties, string[] authenticationTypes)

 SignIn和SignOut还有分别有一个重载,只是 AuthenticationProperties properties参数是new AuthenticationProperties();

在这里,只要为SignIn方法成功传入一个对象ClaimsIdentity即可能登录成功。但如何构建ClaimsIdentity对象。

微软的Identity实现:

Microsoft.AspNet.Identity.Core程序集下UserManager<TUser, TKey>实现如下方法。

public virtual Task<ClaimsIdentity> CreateIdentityAsync(TUser user, string authenticationType)

TUser需实现IUser<out Tkey>接口,该接口包含Id和UserName两个属性。

    public interface IUser<out TKey>
    {
        TKey Id { get; }
        string UserName { get; set; }
    }

因此可以理解为:用户输入用户名和密码→应用程序向数据库查询该用户,返回一个实现IUser接口的对象→调用UserManager.CreateIdentityAsync方法,将IUser对象传入方法中→该方法返回一个ClaimsIdentity对象→将该对象传给AuthenticationManager.SignIn方法。

SignIn会写入到上下文并在某个“时间地点”加密、编码成cookie. 反过来讲,SignOut会清除上下文中的ClaimsIdentity对象。

自定义构建ClaimsIdentity对象:

仿照UserManager.CreateIdentityAsync内的代码,如下写法:

在这里,创建ClaimsIdentityFactory对象仅仅只为使用其内的常量字符串,并无其它意义,不能修改替换ClaimsIdentityFactory内的常量字符串,否则会出错。(new Claim时构造函数传入的factory的几个属性均是常量字符串)

IdentityProviderClaimType和DefaultIdentityProviderClaimValue 也均为ClaimsIdentityFactory内的internal修饰的常量字符串,因在本处引用不到,所以拿出来了。
user = new Entitys.User { Id = 123, TenantId = 1, Email = "1233@qq.com", UserName = "admin" };
var factory = new Microsoft.AspNet.Identity.ClaimsIdentityFactory<User, long>();
string IdentityProviderClaimType = "http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider";
string DefaultIdentityProviderClaimValue = "ASP.NET Identity";
ClaimsIdentity id = new ClaimsIdentity(DefaultAuthenticationTypes.ApplicationCookie, factory.UserNameClaimType, factory.RoleClaimType);
id.AddClaim(new Claim(ClaimTypes.NameIdentifier, user.Id.ToString(), ClaimValueTypes.String));
id.AddClaim(new Claim(factory.UserNameClaimType, user.UserName, ClaimValueTypes.String));
id.AddClaim(new Claim(IdentityProviderClaimType, DefaultIdentityProviderClaimValue, ClaimValueTypes.String));
id.AddClaim(new Claim(AbpClaimTypes.TenantId, user.TenantId.ToString(CultureInfo.InvariantCulture)));

AuthenticationManager.SignOut(DefaultAuthenticationTypes.ApplicationCookie);
AuthenticationManager.SignIn(new AuthenticationProperties { IsPersistent = rememberMe }, id);

 

如上所示:应用程序就可以实现登录了。登录后就可以访问[Authorize]特性控制的Action。如果调用SignOut方法,即登出,访问[Authorize]特性控制的Action将需要登录。

简要说明的是,在Abp工作单元中也实现了IAbpSession属性,从而得到TenantId的值,以致能在查询中自动添加TenantId条件过滤。

 

OWIN学习参考博文:

http://www.cnblogs.com/jesse2013/p/aspnet-identity-claims-based-authentication-and-owin.html

 

分享一个Asp.net 源码网站,同时感谢介绍给我的那位好人。

https://referencesource.microsoft.com/#q=Identity

需要参考的源码:

katana项目,包含Owin相关几个程序集源码。

https://katanaproject.codeplex.com/SourceControl/latest#README

Identity源码:

https://github.com/aspnet/Identity

 

转载于:https://www.cnblogs.com/wangwzg/p/6217033.html

weixin_30662849
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OWIN实现自承载Web Api框架
05-10
WPF自宿主作为Web服务器,托管Web Api,使用的是OWIN实现自承载Web Api框架,集成了swagger接口文档,可以实现将一个Web API宿主到一个任意类型的应用程序,包括控制台、Winform、WPF、Windows Service等 ...
OWIN实现OAuth 2.0 之客户端模式(Client Credential)
12-26
换句话说,如果你的项目使用OWIN实现OAuth 2.0 之客户端模式,但是没有配置machineKey,也没有在认证服务中自定义认证。那么我就可以利用OWIN实现OAuth 2.0 之客户端模式的基本原理生成一个token,你会发现我这个...
ABP理论学习之Abp Session
weixin_33915554的博客
12-17 153
返回总目录 本篇目录 介绍 注入Session 使用Session属性 介绍 当应用程序要求用户登录时,那么应用程序也需要知道当前用户正在执行的操作。虽然ASP.NET本身在展现层提供了Session对象,但ABP也提供了在任何需要获得当前用户和租户的地方都可以使用的IAbpSession接口。 关于IAbpSession 为了获得实际的session信息,必须要实现IAbpSession...
ABP入门系列(10)——扩展AbpSession
weixin_34283445的博客
02-06 234
ABP入门系列目录——学习Abp框架之实操演练 源码路径:Github-LearningMpaAbp 一、AbpSession是Session吗? 1、首先来看看它们分别对应的类型是什么? 查看源码发现Session是定义在Controller中的类型为HttpSessionStateBase的属性。 public HttpSessionStateBase Session { get; set;...
ABPIAbpSession
weixin_34060741的博客
09-20 318
AbpSession定义了几个关键属性: UserId:当前用户的Id或空(如果没有当前用户),如果调用需要授权的代码,它就不能为空。 TenantId:当前租户的Id或空(如果没有当前租户:尚未登录或是个宿主用户)。 ImpersonatorUserId:模拟用户的Id(如果其它用户模拟当前会话),如果不是模拟登录就为空。 ImpersonatorTenantId:模拟用户的租户的I...
下一代Asp.net开发规范OWIN(1)—— OWIN产生的背景以及简单介绍
weixin_34117522的博客
09-04 138
随着VS2013的发布,微软在Asp.Net中引入了很多新的特性,比如使用新的权限验证模块Identity, 使用Async来提高Web服务器的吞吐量和效率等。其中一个不得不提的是OWIN和Katana. OWIN的全称是Open Web Interface For .Net, OWIN是.Net开源社区借鉴Ruby而制定的.Net Web开发架构,有着非常简单的规范定义,同时极度降低了模块间耦合...
C# MVC +Redis+RedisSessionProvider +Owin 实现真正的 分布式
foreverhot1019的博客
06-27 897
1.首先 Nuget 安装 Newtonsoft.Json RedisSessionProvider 替换成Microsoft.Web.Redis.RedisSessionStateProvider+ StackExchange.Redis.StrongName这个更好 RedisSessionProvider有时候会莫名其妙的没有插入redis-Session StackExchan...
Microsoft.Owin_C#_Owin_
10-01
`Microsoft.Owin` 是一个针对 .NET Framework 和 .NET Core 平台的关键库,主要用于构建中间件栈,实现应用程序的自定义管道处理,尤其是用于身份验证和授权。这个库是基于 Open Web Interface for .NET (OWIN) 规范...
OWIN OAuth 2.0 Authorization Server Demo
11-03
OWIN(Open Web Interface for .NET)是一种在.NET框架实现Web服务器与应用程序之间解耦的规范。OAuth 2.0则是一种授权框架,用于安全地授予第三方应用访问用户资源的权限,而无需共享用户的登录凭证。这个"OWIN ...
OWIN OAuth 2.0 Authorization Server
04-27
通过深入研究这个示例代码,你可以学习到如何配置OWIN中间件,实现OAuth 2.0的授权流程,以及如何与数据库交互存储和验证用户信息。这将对构建自己的身份验证和授权服务大有帮助。同时,理解OAuth 2.0的安全性和最佳...
MVC5 - ASP.NET Identity登录原理 - Claims-based认证和OWIN
weixin_33754913的博客
04-01 646
在Membership系列的最后一篇引入了ASP.NET Identity,看到大家对它还是挺感兴趣的,于是来一篇详解登录原理的文章。本文会涉及到Claims-based(基于声明)的认证,我们会详细介绍什么是Claims-based认证,它与传统认证方式的区别,以及它的特点。同时我们还会介绍OWIN (Open Web Interface for .NET) 它主要定义了Web Server...
OWIN的理解和实践(一) – 解耦,协作和开放
weixin_30500105的博客
03-23 180
概述 OWIN的全称是Open Web Interface For .Net, 是MS在VS2013期间引入的全新的概念, 网上已经有不少的关于它的信息, 这里我就谈下我自己的理解: OWIN是一种规范和标准, 不代表特定技术. MS最新出现的一些新的技术, 比如Kanata, Identity, SignalR, 它们只是基于OWIN的不同实现, 这个在以后章节会进一步讨论. OWIN...
ASP.NET WebApi 基于分布式Session方式实现Token签名认证(发布版)
weixin_33686714的博客
09-05 497
一、课程介绍 明人不说暗话,跟着阿笨一起学玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性。那么对于我们来说,如何确保数据的安全将会是需要思考的问题。在ASP.NETWebService服务中可以通过SoapHead验证机制来实现,那么在ASP.NET WebApi中我们应该如何保证我们的接口安全呢?如果您对本次分享课程《ASP.NET WebApi 基于分布式Sess...
OWIN初探
上善若水 的专栏
03-05 5767
原文连接 什么是 OWIN ?   OWIN 的全称是 "Open Web Interface for .NET", OWIN 在 .NET Web 服务器和 .NET Web 应用之间定义了一套标准的接口, 其目的是为了实现服务器与应用之间的解耦, 鼓励为 .NET Web 应用开发简单模块。   OWIN 是一个开源开放的标准, 有助于建设 .NET 开发的开源生态环境,OW
【C#】使用OWIN创建Web API
weixin_34294649的博客
01-06 438
OWIN的介绍  OWIN 的全称是 "Open Web Interface for .NET", OWIN 在 .NET Web 服务器和 .NET Web 应用之间定义了一套标准的接口, 其目的是为了实现服务器与应用之间的解耦,使得便携式 .NET Web 应用以及跨平台的愿望成为现实, 标准的 OWIN 应用可以在任何 OWIN 兼容的服务器上运行,不再依赖于Windows和IIS ...
winform实现owin处理请求
最新发布
05-10
OWIN启动器类是一个类,它实现了IDisposable接口,并且它拥有一个Start方法和一个Stop方法。在Start方法中,您需要创建一个HttpListener对象,并使用它来处理传入的HTTP请求。在Stop方法中,您需要停止HttpListener...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值