验证(Authentication)和授权(Authorization)(一):

最新推荐文章于 2022-04-01 19:52:02 发布
最新推荐文章于 2022-04-01 19:52:02 发布
阅读量636 收藏
点赞数
文章标签: 后端
原文链接:http://www.cnblogs.com/zhijianblogs/p/5325580.html
版权

 

采用ASP.NET Web API 提供的IAuthenticationFilter和IAuthorizationFilter接口分别实现验证和授权。其中用到IIdentity和IPrincipal接口。

IIdentity的具体类型用来标识通过验证的用户身份,由用户凭据(Credential)来创建一个指定名称的用户。

接口定义:

    //定义标识对象的基本功能。

    public interface IIdentity

    {

        // 获取所使用的身份验证的类型。

        string  AuthenticationType { get; }

        // 获取一个值,该值指示是否验证了用户。

        bool  IsAuthenticated { get; }

        // 获取当前用户的名称

        string  Name { get; }

    }

不同的验证类型,对IIdentity有不同的实现方式。如:WindowsIdentity(Windows集成)、FormsIdentity(Forms)和GenericIdentity(一般用户)等。

如果自定义实现验证方式,可以采用GenericIdentity来标识用户身份,已通过验证的用户是一个指定名称的GenericIdentity。

GenericIdentity类型定义:

  public class GenericIdentity : ClaimsIdentity

    {

        //     使用指定的 System.Security.Principal.GenericIdentity 对象初始化 System.Security.Principal.GenericIdentity

        //     类的新实例。

        protected GenericIdentity(GenericIdentity identity);

        //     初始化 System.Security.Principal.GenericIdentity 类的新实例,该类表示具有指定名称的用户。

        public GenericIdentity(string name);

        //     初始化 System.Security.Principal.GenericIdentity 类的新实例,该类表示具有指定名称和身份验证类型的用户。

        public GenericIdentity(string name, string type);

        //     获取用于标识用户的身份验证的类型。

        public override string AuthenticationType { get; }

        //     为用户获取此最常用标识表示的所有声明。

        public override IEnumerable<Claim> Claims { get; }

        //     获取一个值,该值指示是否验证了用户。

        public override bool IsAuthenticated { get; }

        //     获取用户的名称。

        public override string Name { get; }

        //     创建作为当前实例副本的新对象。

        public override ClaimsIdentity Clone();

    }

IPrincipal的具体类型表示一个已通过验证并获得授权的对象。

接口定义:

    public interface IPrincipal

    {

        //     获取当前用户的标识。

        IIdentity Identity { get; }

        //     确定当前用户是否属于指定的角色。

        bool IsInRole(string role);

    }

GenericPrincipal类型,用用户标识和角色名称数组来初始化。

    public class GenericPrincipal : ClaimsPrincipal

    {

        //     从用户标识和角色名称数组(标识表示的用户属于该数组)初始化 System.Security.Principal.GenericPrincipal

        //     类的新实例。

        public GenericPrincipal(IIdentity identity, string[] roles);

        //     获取当前 System.Security.Principal.GenericPrincipal 表示的用户的 System.Security.Principal.GenericIdentity。

        public override IIdentity Identity { get; }

        //     确定当前 System.Security.Principal.GenericPrincipal 是否属于指定的角色。

        public override bool IsInRole(string role);

    }

IAuthenticationFilter接口定义:

public interface IAuthenticationFilter : IFilter
{
Task AuthenticateAsync(HttpAuthenticationContext context, CancellationToken cancellationToken);
Task ChallengeAsync(HttpAuthenticationChallengeContext context, CancellationToken cancellationToken);
}

其中AuthenticateAsync方法用于实现用户认证,而ChallengeAsync方法在认证失败的情况下,生成“质询(Challenge)”结果。

用自定义AuthenticateAttribute类型实现Basic认证:

[AttributeUsage(AttributeTargets.Class|AttributeTargets.Method)]
public class AuthenticateAttribute : FilterAttribute, IAuthenticationFilter
{
private static readonly Dictionary<string, string> UserAccount;
static AuthenticateAttribute()
{
UserAccount = new Dictionary<string, string>(StringComparer.OrdinalIgnoreCase)
{
{"CHN", "china"}
};
}

public Task AuthenticateAsync(HttpAuthenticationContext context,
System.Threading.CancellationToken cancellationToken)
{
var headerValue = context.Request.Headers.Authorization;

if (null == headerValue || headerValue.Scheme != "Basic")
return Task.Factory.StartNew(() => { }, cancellationToken);

var byteArray = Convert.FromBase64String(headerValue.Parameter);
var credential = Encoding.UTF8.GetString(byteArray);
var split = credential.Split(':');

if (split.Length != 2) return Task.Factory.StartNew(() => { }, cancellationToken);

var userName = split[0];
string password;

if (!UserAccount.TryGetValue(userName, out password))
return Task.Factory.StartNew(() => { }, cancellationToken);

if (password != split[1]) return Task.Factory.StartNew(() => { }, cancellationToken);

var identity=new GenericIdentity(userName);
IPrincipal user = new GenericPrincipal(identity,new string[0]);
context.Principal = user;

return Task.FromResult<object>(null);
}

public Task ChallengeAsync(HttpAuthenticationChallengeContext context,
System.Threading.CancellationToken cancellationToken)
{
var user = context.ActionContext.ControllerContext.RequestContext.Principal;

if (null != user && user.Identity.IsAuthenticated)
return Task.Factory.StartNew(() => { }, cancellationToken);

var parameter = string.Format("realm=\"{0}\"", context.Request.RequestUri.DnsSafeHost);
var challenge=new AuthenticationHeaderValue(
"Basic",parameter);
context.Result=new UnauthorizedResult(new[]{challenge},
context.Request);

return Task.FromResult<object>(null);
}
}

转载于:https://www.cnblogs.com/zhijianblogs/p/5325580.html

weixin_33893473
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
egg-auths:egg 认证(authentication)和授权(authorization)插件
05-09
Auths是eggjs的插件,主要用于完成用户身份验证授权。 相关的API和模块主要是参考设计的。 它支持基于粗粒度的基于角色的资源访问控制和细粒度的基于资源的权限访问控制。 在当前设计中,角色和权限的数据源...
JWT_Authentication_Authorization:使用NodeJs构建的REST API,以MongoDB作为数据库,使用JWT令牌对用户进行身份验证授权
05-27
JWT_Authentication_Authorization 使用NodeJ构建的REST API,以MongoDB作为数据库,使用JWT令牌对用户进行身份验证授权
00认证(Authentication)和授权(Authorization)
xiejx618的专栏
04-02 1357
接下来段时间打算学习下Robert Winch写的spring security 3.1这本书,记下笔记顺便放到blog.主要的使用环境: jdk7+maven3.1.1+jetty9.1.3+idea13.0.1+spring mvc3.1.0+spring security3.1.0 开发安全应用,认证(Authentication)和授权(Authorization)是两个重要的安全
(五)设计模式之迭代器模式(Iterator)
卷心菜投手
11-21 191
前言: 参考图书:软件设计模式与体系结构 参考博客:https://www.cnblogs.com/wanson/articles/9277813.html   正题:         迭代器(iterator)有时又称游标(cursor)是程序设计的软件设计模式,可在容器(container,例如链表或阵列)上遍访的接口,设计人员无需关心容器的内容。 代码示例: 1 MyIt...
[ASP.NET MVC] 利用自定义的AuthenticationFilter实现Basic认证
weixin_34050389的博客
04-16 146
很多情况下目标Action方法都要求在一个安全上下文中被执行,这里所谓的安全上下文主要指的是当前请求者是一个经过授权的用户。授权的本质就是让用户在他许可的权限范围内做他能够做的事情,授权的前提是请求者是一个经过认证的用户。质询-应答(Chanllenge-Response)”是用户认证采用的一种常用的形式,认证方向被认证方发出质询以要求其提供用于实施认证的用户凭证,而被认证方提供相应的凭证以作为对...
Spring Security Web 5.1.2 源码解析 -- BasicAuthenticationFilter
Details Inside Spring
12-09 1万+
概述 源代码解析 参考文章 Spring Security Web 5.1.2 源码解析 – 安全相关Filter清单
Web.Mvc:IAuthenticationFilter
weixin_30611509的博客
05-20 248
ylbtech-.NETFramework-Web.Mvc:IAuthenticationFilter 1.程序集 System.Web.Mvc, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35返回顶部 1、 #region 程序集 System...
next-authentication:Next.js框架的身份验证授权
02-05
下次认证 Next.js的身份验证授权next-authentication提供了一组功能和中间件,以在Next.js应用程序中实现身份验证授权和会话管理。用法建立: // Setup// file: lib/auth.jsimport bcrypt from 'bcrypt' ;import...
auth:PHP的身份验证授权和访问控制
05-16
PHP的身份验证授权和访问控制。 特征 多种,例如组(用于acl)和级别。 授权(例如“用户是该团队的管理员”)。 用于登录和注销的PSR-14。 用于访问控制的PSR-15。 ,显式或隐式(例如,更改密码后)。 ...
json-server-auth:JSON服务器的身份验证授权流程
05-07
:locked_with_key: JSON服务器身份验证JWT身份验证中间件因为您还需要假冒的身份验证授权流程才能进行原型制作。入门同时安装JSON服务器和JSON服务器认证: # NPMnpm install -D json-server json-server-auth# ...
Asp.Net MVC-4-过滤器1:认证与授权
aiqian8176的博客
07-31 132
基础 过滤器体现了MVC框架中的Aop思想,虽然这种实现并不完美但在实际的开发过程中一般也足以满足需求了。 过滤器分类 依据上篇分析的执行时机的不同可以把过滤器按照实现不同的接口分为下面五类: IAuthenticationFilter 认证和所有IActionFilter执行后(OnAuthentication、OnAuthenticationChallenge) IAuth...
如何利用窗体身份验证创建 GenericPrincipal 对象
weixin_30323631的博客
08-10 96
本页内容 目标 适用范围 如何使用本章内容 摘要 您必须了解的背景知识 创建一个具有登录页的 Web 应用程序 配置 Web 应用程序的窗体身份验证 为通过身份验证的用户生成身份验证票证 构造 GenericPrincipal 和 FormsIdentity 对象 测试应用程序 其...
@Autowired 和 @Resource
qq_40813329的博客
04-01 2877
定义 @Autowired 对类成员变量、方法及构造函数进行标注,完成自动装配的工作 @Resource 在语义上被定义为通过其唯一的名称来标识特定的目标组件,其中声明的类型与匹配过程无关 如果没有明确指定名称,则默认名称是从字段名称或设置方法(get、set方法)派生的。 如果用在字段上,则采用字段名称 如果用在在setter方法,它采用其属性名称(例如setProperty()方法,取property做为属性名称)。 区别 在Spring框架中,如果在Service层中需要注入其他依赖的对象,通常
AuthorizationFilter身份验证信息
我们的征途是星辰大海
11-12 4164
最近被跨域问题搞得焦头烂额,在前端ajax往服务器端发送请求的时候,我尝试在请求报文header里面自定义请求头: $.ajax({ type: "GET", url: 'http://localhost:49420/api/v1/User/GetById?id=1', dataType: "json", headers: {...
Authorization Filter 的执行过程
ouhaochuan的专栏
11-08 6202
Authorization Filter 实现了IAuthorizationFilter 接口: MVC框架收到浏览器请求,路由系统处理请求的URL并提取出Controller 和 Action ,接着Controller 被实例化,当其Action 被执行之前,MVC框架检查Action Method 是否被应用了 authorization filter ,如果有的话,则IA
AuthenticationFilter
赶时髦,也写写博客
07-31 1113
[code="java"] @Scope(APPLICATION) @Name("org.jboss.seam.web.authenticationFilter") @Install(value = false, precedence = BUILT_IN) @BypassInterceptors @Filter(within = "org.jboss.seam.web.exceptio...
在进行Forms身份验证时如何将此信息映射到GenericPrincipal 和 FormsIdentity 对象?
weixin_34380296的博客
05-11 88
创建一个有登录页的 Web 应用程序此过程创建一个新的 ASP.NET Web 应用程序。此应用程序将包含两个页;一个是只允许经过身份验证的用户访问的默认页,另一个是用于收集用户凭据的登录页。要创建一个有登录页的 Web 应用程序,请执行下列操作:1.启动 Visual Studio .NET 并创建一个名为 test 的新 Visual C# ASP.NET Web 应用程序。 2.将 WebF...
spring cloud oauth2 feign 遇到的坑
热门推荐
碧海擎天逍遥仙
12-19 1万+
关于oauth2相关的内容这里不重复描述,在spring cloud中在管理内部api时鉴权相信有很多人会有疑问,这里描述两种比较low的用法,由于公司内部使用的是阿里云edas这里仅仅是记录一下,如果有更好的用法在请赐教,不喜勿喷! 客户端模式提供三方jar包 这里需要抽一个jar包,需要用到feign的为服务端直接利用maven模式引入feign即可 <dependencies>
如何使用 ASP.NET Core Authorization 来实现身份验证授权
最新发布
05-22
ASP.NET Core Authorization是一个集成在ASP.NET Core中的授权框架,可以用来实现身份验证授权。下面介绍如何使用ASP.NET Core Authorization来实现身份验证授权。 1. 配置身份验证 在Startup.cs文件中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值