IdentityServer4 指定角色授权(Authorize(Roles="admin"))

最新推荐文章于 2019-11-01 10:41:31 发布
最新推荐文章于 2019-11-01 10:41:31 发布
阅读量424 收藏
点赞数 1
原文链接:https://yq.aliyun.com/articles/345376
版权

1. 业务场景

IdentityServer4 授权配置Client中的AllowedScopes,设置的是具体的 API 站点名字,也就是使用方设置的ApiName,示例代码:

//授权中心配置
new Client
{
    ClientId = "client_id_1",
    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
    AllowOfflineAccess = true,
    AccessTokenLifetime = 3600 * 6, //6小时
    SlidingRefreshTokenLifetime = 1296000, //15天
    ClientSecrets =
    {
        new Secret("secret".Sha256())
    },
    AllowedScopes = 
    {
        "api_name1"
    },
}

//API 服务配置
app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions
{
    Authority = $"http://localhost:5000",
    ApiName = "api_name1",
    RequireHttpsMetadata = false
});

上面两个api_name1配置要一致,问题来了,因为授权中心的scope配置是整个 API 服务,如果我们存在多个Client配置,比如一个前台和后台,然后都需要访问api_name1,就会出现一些问题。

比如,api_name1服务中的一个接口服务配置代码:

[Authorize()]
[Route("api/values")]
[HttpGet]
public IActionResult Get()
{
    return Ok();
}

Authorize()的配置,说明api/values接口需要授权后访问,如果授权中心配置了两个Client(前台和后台),并且scope都包含了api_name1,现在就会出现两种情况:

  1. 前台Client和后台Client,都需要授权后访问api/values接口:没有问题。
  2. 前台Client不需要授权后访问,后台Client需要授权后访问:有问题,前台Client没办法访问了,因为api/values接口设置了Authorize()

其实,说明白些,就是该如何让 API 服务指定Client授权访问?比如:[Authorize(ClientId = 'client_id_1')]

2. 解决方案

没有[Authorize(ClientId = 'client_id_1')]这种解决方式,不过可以使用[Authorize(Roles = 'admin')]

授权中心的ResourceOwnerPasswordValidator代码,修改如下:

public class ResourceOwnerPasswordValidator : IResourceOwnerPasswordValidator
{
    private readonly IUserService _userService;

    public ResourceOwnerPasswordValidator(IUserService userService)
    {
        _userService = userService;
    }

    public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context)
    {
        var user = await _userService.Login(context.UserName, context.Password);
        if (user != null)
        {
            var claims = new List<Claim>() { new Claim("role", "admin") }; //根据 user 对象,设置不同的 role
            context.Result = new GrantValidationResult(user.UserId.ToString(), OidcConstants.AuthenticationMethods.Password, claims);
        }
    }
}

授权中心的startup配置,修改如下

var builder = services.AddIdentityServer();
builder.AddTemporarySigningCredential()
        //.AddInMemoryIdentityResources(Config.GetIdentityResources())
        .AddInMemoryApiResources(new List<ApiResource>
        {
            new ApiResource("api_name1", "api1"){ UserClaims = new List<string> {"role"}}, //增加 role claim
            new ApiResource("api_name2", "api2"){ UserClaims = new List<string> {"role"}}
        })
        .AddInMemoryClients(Config.GetClients());

API 服务接口,只需要配置如下:

[Authorize()]
[Route("api/values")]
[HttpGet]
public IActionResult Get()
{
    return Ok();
}

[Authorize(Roles = "admin")]
[Route("api/values2")]
[HttpGet]
public IActionResult Get2()
{
    return Ok();
}

[Authorize(Roles = "admin,normal")]
[Route("api/values3")]
[HttpGet]
public IActionResult Get3()
{
    return Ok();
}

需要注意的是,api/values接口虽然没有设置具体的Roles,但每个Role都可以访问。





本文转自田园里的蟋蟀博客园博客,原文链接:http://www.cnblogs.com/xishuai/p/identityserver4-apiresource-userclaim-role-authorize.html,如需转载请自行联系原作者

weixin_34319999
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IdentityServer4实现.Net Core API接口权限认证(快速入门)
10-15
主要介绍了IdentityServer4实现.Net Core API接口权限认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
IdentityServer4之Authorization Code(授权码)相对更安全
dotNET跨平台
02-10 576
前言接着授权模式聊,这次说说Authorization Code(授权码)模式,熟悉的微博接入、微信接入、QQ接入都是这种方式(这里说的是oauth2.0的授权码模式),从用户体验上来看,...
IdentityServer4 指定角色授权Authorize(Roles=&quot;admin&quot;))
dotNET跨平台
06-24 1337
1. 业务场景 IdentityServer4 授权配置Client中的AllowedScopes,设置的是具体的 API 站点名字,也就是使用方设置的ApiName,示例代码: //授权中心配置new Client{    ClientId = "client_id_1",    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
identityserver4 Authorize 传参
weixin_34044273的博客
03-03 471
原文 http://docs.identityserver.io/en/release/endpoints/authorize.html Authorize Endpoint授权终端 用于通过浏览器授权 请求令牌 或 授权码,该过程主要用于最终用户授权及可选同意。The authorize endpoint can be used to request tokens or a...
IdentityServer4 QuckStart 授权与自定义Claims的问题
12-20
最近在折腾IdentityServer4,为了简单,直接使用了官方给的QuickStart示例项目作为基础进行搭建。有一说一,为了保护一个API,感觉花费的时间比写一个API还要多。 本文基于ASP.NET CORE 3.1, IdentityServer4 3.1.3...
authorize-role:一个简单的基于角色的快速授权中间件
05-13
授权角色 一个简单的基于角色授权中间件。 安装 npm install --save authorize-role 用法 用以下命令导入: var authorize = require('authorize-role'); request对象必须具有user属性,该role必须具有role才能...
authorize_企业微信授权示例_
09-30
企业微信授权示例是企业在开发过程中与企业微信平台进行集成的一种常见需求,主要涉及OAuth2.0授权协议,用于安全地获取用户信息或实现单点登录。本文将深入讲解企业微信授权的过程、关键步骤以及如何在实际项目中...
MVC4角色授权
05-22
同时使用`[Authorize(Roles)]`和自定义的授权特性,可以实现静态角色和动态条件的混合授权。 ### 7. 错误处理与重定向 当用户无权访问受限资源时,可以通过`[Authorize]`特性的`AccessDeniedPath`属性指定一个错误...
MVC4实现角色权限验证的例子
09-11
例如,`[Authorize(Roles = "Admin")]`将限制只有管理员角色的用户才能访问该动作。 5. **自定义授权逻辑**:除了使用`AuthorizeAttribute`,还可以通过重写`OnAuthorization`方法来自定义更复杂的授权逻辑。这允许...
IdentityServer:基于identityserver4的统一登录认证,后台权限管理
04-06
身份服务器
MVC 权限控制 Authorize Roles 简单实现
apple151128的博客
12-17 4573
首先创建一个 BaseController ,让所有的Controller继承自BaseController 。 [Authorize] public class BaseController : Controller { }   系统登录需要一个 AccountController ,继承自BaseController ,并添加匿名访问标记 All
集成WebSecurity的Authorize进行身份验证时,数据库连接报错问题
weixin_30699463的博客
06-25 222
mvc4中把之前Membership升级成simpleMembership,自然升级是好处比较多,每一个新版本的到来,都需要接收它的惊喜和接受它的bug。 我在Controller上做验证的时候,我们使用 [Authorize] 和 [Authorize(Users="myuser")]都没问题,当我们使用 [Authorize(Roles="admin")]的时候问题来了,我们得到以下错误: ...
[Practice Note] 2. Authorize特性中Roles,User权限控制实现
NoFind_Coder的博客
11-01 772
今日更新
IdentityServer4 配置负载均衡
weixin_34055787的博客
06-15 272
如果使用 IdentityServer4授权服务的负载均衡,默认情况下是不可以的,比如有两个授权服务站点,一个资源服务绑定其中一个授权服务(Authority配置),如果通过另外一个授权服务获取access_token,然后拿这个access_token去访问资源服务,会报 401 未授权错误,为什么?原因在这: By default an acc...
一步一步学习IdentityServer3 (15) 授权模式那些事
weixin_30642869的博客
12-01 319
总结一句话,其实很简单 在什么Clients 拿的认证权限Scope 就去 去开什么Scope限制的服务接口门 在写Clients的时候,会有Scope,看下面的代码 new Client { ClientName = "手机APP", ClientId = "lym.p...
<security:authorize access="hasPermission 中,hasPermission 如何配置参数
最新发布
05-14
<security:authorize access="hasPermission(#resourceId, 'read')"/> ``` 其中,`#resourceId`表示方法调用的第一个参数,`'read'`表示方法调用的第二个参数。 2. SpEL表达式:您也可以使用SpEL表达式来传递参数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值