玩一玩基于Token的 自定义身份认证+权限管理

最新推荐文章于 2024-04-08 21:10:00 发布
最新推荐文章于 2024-04-08 21:10:00 发布
阅读量232 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/sjqq/p/9111121.html
版权

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

 

一,用户点击登录时 对用户名密码进行检查。 当状态为Success   进而通过用户名密码去生成一个身份验证的令牌

从而对令牌进行加密 生成Token  然后放入Cookie里

复制代码 
        public ActionResult Login(LoginViewModel model, string returnUrl)
        {
            if (!ModelState.IsValid)
            {
                return View(model);
            }

            LoginManager loginManager = new LoginManager();
            var result = loginManager.SignIn(model.Email, model.Password);
            if (result == LoginState.Success)
            {
                var role = loginManager.GetUserRoleByEmailAsync(model.Email);

                //通过用户名(邮箱) 密码生成一个ticket令牌
                FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, model.Email, DateTime.Now,
                    DateTime.Now.AddMinutes(30), true, string.Format("{0}&{1}", model.Email, model.Password));
                
                //加密
                var Token = FormsAuthentication.Encrypt(ticket);

                System.Web.HttpContext.Current.Session["UserName"]=model.Email;
                System.Web.HttpContext.Current.Session["Role"] = role;

                //将Token加入到cookie  并设置为5天过期
                var cookie = new HttpCookie("Token", Token)
                {
                    Expires = DateTime.Now.AddDays(5)
                };
                Response.Cookies.Add(cookie);

                if (returnUrl != null)
                {
                    return Redirect(returnUrl);
                }
                return Redirect("/Home/Chat");
            }

            return View();
}
复制代码

 

 

二,继承并重写 AuthorizeAttribute 中的 OnAuthorization  

这里 我建了个XML文件用来存放action的角色权限  

用来对方法访问的控制。  这里会解析token 然后进行匹配

复制代码 
<?xml version="1.0" encoding="utf-8" ?>
<Roles>
  <Controller name="Home">
    <Action name="Index"></Action>
    <Action name="Chat">Admin,VIP5,VIP4</Action>
  </Controller>
    <Controller name="Account">
    <Action name="Index"></Action>
    <Action name="GETint">Admin,VIP5,VIP4</Action>
  </Controller>
</Roles>
复制代码

 

复制代码 
   public class MVCAuthorize : AuthorizeAttribute
    {
        public new string Roles { get; set; } //这个是从Action中传过来的角色
        public override void OnAuthorization(AuthorizationContext actionContext)
        {

            var token = actionContext.HttpContext.Request.Params["Token"];

            if (!string.IsNullOrEmpty(token))
            {
                string controllerName = actionContext.ActionDescriptor.ControllerDescriptor.ControllerName; //得到控制器名称
                string actionName = actionContext.ActionDescriptor.ActionName;//得到Action名称
                string roles = GetActionRoles(actionName, controllerName); // 在Xml文件中根据控制器 Action 找到对应的访问角色权限
                if (!string.IsNullOrWhiteSpace(roles))
                {
                    this.Roles = Roles + "," + roles;
                    var isAuthValidate = ValidateTicket(token, Roles);
                    if (isAuthValidate != AuthorizeState.ValidateSuucss)
                    {
                        base.HandleUnauthorizedRequest(actionContext);
                    }

                }
            }
            else{
             base.HandleUnauthorizedRequest(actionContext);

           }
           

        }

        //获取当前Action的访问角色
        public static string GetActionRoles(string action, string controller)
        {
            XElement rootElement = XElement.Load(HttpContext.Current.Server.MapPath("/") + "/XML/RoleAction.xml");
            XElement controllerElement = findElementByAttribute(rootElement, "Controller", controller);
            if (controllerElement != null)
            {
                XElement actionElement = findElementByAttribute(controllerElement, "Action", action);
                if (actionElement != null)
                {
                    return actionElement.Value;
                }
            }
            return "";
        }

        public static XElement findElementByAttribute(XElement xElement, string tagName, string attribute)
        {
            return xElement.Elements(tagName).FirstOrDefault(x => x.Attribute("name").Value.Equals(attribute, StringComparison.OrdinalIgnoreCase));
        }

        //校验用户名密码(对Session匹配,或数据库数据匹配)
        private AuthorizeState ValidateTicket(string encryptToken,string role)
        {
            if (encryptToken == null)
            {
                return AuthorizeState.TokenErro;
            }
            //解密Ticket
            var strTicket = FormsAuthentication.Decrypt(encryptToken).UserData;

            //从Ticket里面获取用户名和密码
            var index = strTicket.IndexOf("&");
            string userName = strTicket.Substring(0, index);
            string password = strTicket.Substring(index + 1);
            ArrayList arrayList = new ArrayList(role.Split(','));
            var roleName = HttpContext.Current.Session["Role"].ToString();
            var name = HttpContext.Current.Session["UserName"].ToString();
            //取得session,不通过说明用户退出,或者session已经过期 if name!=username, 说明过期或者用户退出了
            if (arrayList.Contains(roleName) && name == userName)  //获取对应控制器 对应方法的访问角色权限 如果包含说明符合访问 否则返回权限错误
            {
                return AuthorizeState.ValidateSuucss;
            }
            else
            {
                return AuthorizeState.UserValidateErro;
            }
        }
    }
复制代码

 

当我们去访问这个方法时。他会先进行身份验证。进入MVCAuthorize中。 这里你可以扩展开来。 比如我临时需要对这个方法在多开放些角色 ,可以直接在action 带上

复制代码 
        [MVCAuthorize(Roles = "VIP9,ActiveUser")]
        public ActionResult Chat()
        {

            var account = HttpContext.User.Identity.Name;
            ModelDBContext db = new ModelDBContext();
            //ViewBag.UserName =db.User.Where(x=>x.Email == account).FirstOrDefault().FullName;         
            return View();
        }
复制代码

 

当检测到用户未登陆 。 没有通过认证的同时 去访问的话。  会返回一个401 你没有当前页面权限访问

 

然后就是通过验证后的样子

常常是看别人怎么实现。 还是自己多去实践 才能成长更快。 加油

工作之余。手撸代码。颇有漏洞。望君批正。

 

https://www.cnblogs.com/zixuan9527/p/8601151.html

转载于:https://www.cnblogs.com/sjqq/p/9111121.html

weixin_30917213
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
登录管理(权限管理) token
qq_48930299的博客
07-02 481
login登录模块(每个成员只能看加自己的模块) <template> <div class="login-form"> <el-form status-icon ref="ruleForm" label-width="100px" class="demo-ruleForm" > <el-form-item label="账号"> <el-input v-mo
基于Token身份认证方法
liberty12345678的专栏
09-05 2413
1.基于 Token 的身份验证方法  使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 ...
用户验证之自定义身份验证
陈希章@中国
03-20 578
这是今天在课堂上演示的例子代码,自定义身份验证的简单做法是通过GenericPrinciple和GenericIdentity实现,也可以通过自定义Principle和Identity实现。  using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading; using System.Security; using System.Secur
Token令牌管理权限
weixin_30430169的博客
03-29 917
什么是token HTTP是一种无状态的协议,也就是HTTP没法保存客户端的信息,没办法区分每次请求的不同。 Token是服务器生成的一串字符,作为客户端请求的令牌。当第一次登陆后,服务器会分发Tonken字符串给客户端。后续的请求,客户端只需带上这个Token,服务器即可知道是该用户的访问。 使用Tonken,可以实现:权限管理、身份验证、防止同一账号异地登录。 Token的验证过程 ...
前端题目——项目中如何使用token进行权限管理(附具体代码)
秀秀的奇妙旅行
11-06 1506
vue中前端处理token过期的方法与axios请求拦截处理 Axios如何实现数据请求、前后端通信——(具体代码是如何实现的) axios的封装这个讲的很清晰 1、vue router路由拦截 路由导航守卫(router.beforeEach)2、axios请求拦截器① 请求拦截器② 响应拦截器3、axios的封装① axios的特点② 为什么要对axios进行封装③ 如何封装 1、路由导航守卫——对每次路由地址变化进行拦截,根据所在的页面和要去的页面(登录页和其他页面)判断要不要放行 2、axios
基于Token实现身份验证和权限管理
热门推荐
泽辉的技术博客
10-20 1万+
一、什么是token HTTP是一种无状态的协议,也就是HTTP没法保存客户端的信息,没办法区分每次请求的不同。 Token是服务器生成的一串字符,作为客户端请求的令牌。当第一次登陆后,服务器会分发Tonken字符串给客户端。后续的请求,客户端只需带上这个Token,服务器即可知道是该用户的访问。 使用Tonken,可以实现:权限管理、身份验证、防止同一账号异地登录。 二、Token...
Token身份验证
博客
03-19 863
1.首先定义一个可以对Token进行操作的类 public class TokenUtil { //用于存储所有令牌 private static Map<String,User> tokenMap = new HashMap<>(); //生成token,存储token-user对应关系 public static String generateToken(User user){ String token = UUID...
基于springboot+springSecurity+jwt实现的基于token权限管理+源代码+文档
03-12
在基于token权限管理中,JWT被用作用户的认证令牌,当用户成功登录后,服务器会生成一个JWT并返回给客户端。之后,客户端在每次请求时都会附带这个JWT,服务器通过验证JWT来确认用户身份,无需在服务器端存储会话...
基于springboot+springSecurity+jwt实现的基于token权限管理的一个demo,适合新手
02-25
JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,广泛应用于现代Web应用的权限管理。JWT包含三部分:头部(Header)、载荷(Payload)和签名(Signature)。它通过在客户端和服务器之间传递加密的令牌,...
django rest framework系列06-基于Token认证之权限管理基本使用及代码流程
西北一条虫的博客
01-09 172
1、认证是确定用户是否登录,权限就是根据用户判断所拥有的权限: class UserInfo(models.Model): user_type_choices =( (1,'普通用户'), (2,'VIP用户'), (3,'SVIP用户'), ) user_type = models.CharField(max_length=2,choices=user_type_choices) #用户类型 username = mod
JWT Token整合Redis实现登录和权限访问控制的流程梳理
qq_51891433的博客
06-24 903
通过整合JWT Token和Redis来实现登录和用户会话权限访问控制时,JWT Token负责身份验证和授权信息传递,而Redis存储用户会话信息,包括用户权限等。后端验证用户名和密码,生成JWT Token,并将用户信息存储在Redis中,以用户ID为键。在JWT Token有效期内,可以通过JWT Token和Redis获取相关的用户会话信息。后端使用用户信息生成JWT Token,并将Token返回给客户端。验证通过后,从Redis中获取与JWT Token相应的用户信息。
token鉴权与权限菜单
getConfig的博客
03-02 658
token鉴权与权限菜单的方法
了解 token,以及使用token作为访问权限的令牌
最新发布
m0_57184906的博客
04-08 1106
访问权限的令牌,本质上是一串字符串发起请求之前,触发的配置函数,对请求参数进行额外配置响应回到 then/catch 之前,触发的拦截函数,对响应结果统一处理例如:身份验证失败,统一判断并做处理。
后台管理登录权限怎么实现的,token具体有什么作用
杨荧的CSDN博客
02-25 1266
RBAC模型在许多应用领域得到广泛应用,特别是在企业级应用和系统中。通过合理的角色设计和权限分配,RBAC模型可以帮助管理和控制用户的访问权限,从而提升系统的安全性和管理效率。
Geoserver利用视图来做feature的权限区分
bool的博客
11-20 298
权限区分需要用视图来关联查询权限表,如果符合就查询出来。 权限表: sql: -- 查询出用户的权限 with user_auth as ( select * from s_user_function where user_id=%uid% and function_id='200002' and authority_type = 1 and system_id = 2 ), -- 查询出在权限下的用户的features -- 如果scope等于1就只加载当前tentanti.
asp.net mvc api auth
weixin_30306905的博客
10-18 93
一、登录 /// <summary> /// 获取令牌 /// </summary> /// <param name="userName">用户名</param> /// <param name="password">密码</param> /// &lt...
【Vue】登录查看权限控制(token
程序员养成计划
11-16 3141
Vue中的登录查看权限控制
Asp.Net WebApi Token验证 权限验证
qq_37935177的博客
07-03 2984
原文地址 https://www.cnblogs.com/w5942066/p/12055542.html 作者 魏杨杨 1、前言 WebAPI主要开放数据给手机APP,Pad,其他需要得知数据的系统,或者软件应用。Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能。我上次写的《Asp.Net MVC WebAPI的创建与前台Jquery ajax后台HttpClient调用详解》这种跟明显安全性不是那么好,于是乎这个就来了 ,用户需要访问的API都必须带有票据过来,说白了就是登陆之后含有用户
基于 Speing Security 如何实现自定义 token 登录?
09-05
### 回答1: 基于 Spring Security 实现自定义 token 登录的步骤如下: 1. 实现自定义 Token 类,继承 org.springframework.security.authentication.UsernamePasswordAuthenticationToken。 2. 实现自定义 AuthenticationProvider,继承 org.springframework.security.authentication.AuthenticationProvider,在 authenticate 方法中校验 token 的有效性。 3. 在 Spring Security 配置类中添加自定义 AuthenticationProvider。 4. 在控制器中,在用户登录时,生成自定义 token 并存储到客户端。 5. 在接口请求中,在请求头中携带 token,Spring Security 会自动校验 token 的有效性。 ### 回答2: 基于 Spring Security 实现自定义 token 登录的方法如下: 1. 创建自定义Token 类:可以通过实现 `AuthenticationToken` 接口来创建自定义Token 类,该接口定义了 getPrincipal 和 getCredentials 方法用于获取身份和凭证信息。 2. 创建自定义的 AuthenticationProvider 类:可以通过继承 `AbstractUserDetailsAuthenticationProvider` 类来创建自定义的 AuthenticationProvider 类,在该类中重写 authenticate 方法来实现自定义的认证逻辑。在 authenticate 方法中,首先将传入的 Authentication 对象转换为自定义Token 对象,然后进行一系列自定义的验证操作,最后返回一个已认证的 Authentication 对象。 3. 配置 Spring Security :将自定义的 AuthenticationProvider 注册到 Spring Security 的配置文件中,例如通过 `AuthenticationManagerBuilder` 的 `authenticationProvider` 方法将其添加到 AuthenticationManagerBuilder 中。 4. 创建登录接口:创建一个登录接口用于接收用户提供的身份和凭证信息,例如使用 POST 请求传递用户名和密码。在该接口中,可以使用 `AuthenticationManager` 对象的 `authenticate` 方法来进行认证。 5. 生成 Token :在认证成功后,可以根据用户信息生成一个自定义Token 并返回给用户。可以使用 JSON Web Token(JWT) 来生成 Token,并将 Token 存储在缓存或数据库中。 6. 创建 Token 校验过滤器:创建一个自定义的过滤器用于校验用户请求中的 Token 是否有效。在该过滤器中,可以使用 JWT 来解析 Token,并验证 Token 的合法性。 7. 配置 Token 校验过滤器:将自定义Token 校验过滤器配置到 Spring Security 的过滤器链中,以确保每个请求都会进行 Token 的校验。 通过以上步骤,就可以实现基于 Spring Security 的自定义 Token 登录功能。用户在登录时,提供身份和凭证信息,经过认证后返回一个自定义Token,用户在后续的请求中携带该 Token 来进行身份验证。 ### 回答3: 基于 Spring Security 实现自定义 Token 登录可以通过以下步骤完成: 1. 创建一个自定义Token 类,该类可以包含用户的认证信息和其他必要的信息。 2. 继承 Spring Security 中的 AbstractAuthenticationToken 类来实现自定义 Token 类。重写构造方法和其他必要的方法。 3. 创建一个自定义Token 过滤器,在该过滤器中解析请求中的 Token,并将其转换成自定义 Token 类的实例。 4. 创建一个自定义的 AuthenticationProvider 类,用于验证 Token 的有效性。在 authenticate() 方法中,通过调用用户认证的逻辑来验证 Token,并将验证结果返回。 5. 配置 Spring Security,将自定义Token 过滤器和 AuthenticationProvider 注册到 Spring Security 的过滤器链上。 6. 根据业务需求,可以选择将 Token 存储在数据库、缓存中或者使用其他持久化方式。 7. 在登录接口中生成 Token 并返回给客户端。客户端在后续的请求中携带 Token 来进行访问控制操作。 8. 在需要进行访问控制的接口中,使用 Spring Security 的注解来进行权限验证,例如 @PreAuthorize、@PostAuthorize 等。 通过以上步骤,我们可以基于 Spring Security 实现自定义 Token 登录。这种方式能够灵活地满足不同场景下的用户登录需求,并提供高度可定制化的权限管理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值