在ASP.Net Core中设置默认全局authorization 授权访问

最新推荐文章于 2024-04-26 23:25:13 发布
最新推荐文章于 2024-04-26 23:25:13 发布
阅读量3k 收藏 5
点赞数
文章标签: c#
原文链接:https://lebang2020.cn/details/210425aunzrdk3.html
版权

转载于:https://lebang2020.cn/details/210425aunzrdk3.html

ASP.NET Core 拥有广泛的授权系统,您可以使用该系统创建复杂的授权策略。在这篇文章中,我查看了各种方法,您可以将这些策略应用到你常见的应用程序中。

我们将首先配置一个全局授权过滤器,看看为什么这不再是 ASP.NET Core 3.0+推荐的方法。然后,我们将使用端点路由以及使用Razor Page conventions 将不同的授权策略应用到应用的不同部分,然后查看替代方案。我们还将将默认政策与"后退政策“(一个自定义策略)进行比较,看看何时应用它们,以及如何更新它们。

在这篇文章时,我会假设你有一个标准的Razor Page应用程序,与启动.cs类似的东西。这一点的细节不是很重要,我只是假设你已经为您的应用程序配置了身份验证和UI系统。

public class Startup
{
    public IConfiguration Configuration { get; }
    public Startup(IConfiguration configuration)
    {
        Configuration = configuration;
    }

    public void ConfigureServices(IServiceCollection services)
    {
        // Configure ASP.NET Core Identity + EF Core
        services.AddDbContext<AppDbContext>(options =>
            options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection"))
        );

        services.AddDefaultIdentity<IdentityUser>()
            .AddEntityFrameworkStores<AppDbContext>();

        // Add Razor Pages services
        services.AddRazorPages();

        // Add base authorization services
        services.AddAuthorization();
    }

    public void Configure(IApplicationBuilder app)
    {
        app.UseStaticFiles();

        // Ensure the following middleware are in the order shown
        app.UseRouting();

        app.UseAuthentication();
        app.UseAuthorization();

        app.UseEndpoints(endpoints =>
        {
            // Add Razor Pages to the application
            endpoints.MapRazorPages();
        });
    }
}

此时,您具有身份验证,并且您希望开始保护您的应用程序。您可以将[Authorize]属性应用到每个 Razor 页面,但您希望更简单一点,并在全局内将授权应用到程序中的所有页面。这对应本文的其余部分,我们查看可用的各种选项。
使用AuthorizeFilter来全局设置

(1)将授权过滤器在全局应用于您的所有 MVC 操作和Razor页面。这是传统上在早期版本的 ASP.NET 核心中使用的方法。
例如,在配置服务中配置Razor Pages时,您可以将授权过滤器添加到所有Razor Pages操作中(您可以以类似的方式配置 MVC 控制器)

public void ConfigureServices(IServiceCollection services)
{
    // ...other config as before

    // Add a default AuthorizeFilter to all endpoints
    services.AddRazorPages()
        .AddMvcOptions(options => options.Filters.Add(new AuthorizeFilter()));
}

这相当于用[Authorize]属性修饰所有Razor 方法,因此用户有权使用默认政策(下面将对此进行更多介绍!),默认情况下只需要经过验证的用户。如果您未获得身份验证,您将被重定向到Razor Pages应用的登录页面(或者收到 API 的 401 响应)。

如果您想应用不同的策略,您可以在授权过滤器的构造器中指定一个:

public void ConfigureServices(IServiceCollection services)
{
    // ...other config as before

    // Pass a policy in the constructor of the Authorization filter
    services.AddRazorPages()
        .AddMvcOptions(options => options.Filters.Add(new AuthorizeFilter("MyCustomPolicy")));

    // Configure the custom policy
    services.AddAuthorization(options =>
    {
        options.AddPolicy("MyCustomPolicy",
            policyBuilder => policyBuilder.RequireClaim("SomeClaim"));
    });
}

授权筛选器仍然在全局范围内应用,因此用户始终需要登录,但现在他们还必须满足"我的客户政策"政策。如果他们不这样做,他们将被重定向到Razor Pages应用程序的访问被拒绝的页面(或接收API的403)。
请注意:此策略适用于全局,因此您需要确保您的"登录"和"访问"页面有修饰 [AllowAnonymous],否则您最终会获得无尽的重定向。
应用授权过滤器是早期版本的 ASP.NET Core的标准方法,但 ASP.NET Core 3.0 引入了端点路由。端点路由允许将一些以前仅限 MVC 的功能移植为通用功能模块。授权是这些功能之一!

使用RequireAuthorization在endpoint中来启用验证

授权过滤器方法最大的问题是它是仅限 MVC 。ASP.NET Core3.0+为终端设置授权提供了不同的机制—— 在IEndpointConventionBuilder中写了 扩展方法 RequireAuthorization()。
所有可以在Configure方法中配置Endpoins时使用RequireAuthorization()扩展方法就可以配置全局授权验证。

public void ConfigureServices(IServiceCollection services)
{
    // ...other config as before

    // No need to add extra filters
    services.AddRazorPages();

    // Default authorization services
    services.AddAuthorization();
}

public void Configure(IApplicationBuilder app)
{
    app.UseStaticFiles();

    app.UseRouting();

    app.UseAuthentication();
    app.UseAuthorization();

    app.UseEndpoints(endpoints =>
    {
        // Require Authorization for all your Razor Pages
        endpoints.MapRazorPages().RequireAuthorization();
    });
}

其效果与MVC的全局授权过滤器相同。那么为什么要使用这种方法呢?一个很大的优势是能够为其他端点(不是 MVC 或Razor Pages)添加授权。例如,您可能单个指定终点(health)进行身份验证的请求:

app.UseEndpoints(endpoints =>
{
    // Require Authorization for all your Razor Pages
    endpoints.MapRazorPages().RequireAuthorization();
    // Also require authorization for your health check endpoints
    endpoints.MapHealthChecks("/healthz").RequireAuthorization();
});

与以前一样,您可以指定不同的策略,只需要调用RequireAuthorization()。您还可以提供不同的策略来申请不同的端点。在下面的示例中,我将"MyCustomPolicy"策略应用到 Razor 页面端点,并将两个策略"OtherPolicy"和"MainPolicy"应用于”health “端点:

app.UseEndpoints(endpoints =>
{
    // Require Authorization for all your Razor Pages
    endpoints.MapRazorPages().RequireAuthorization("MyCustomPolicy");
    // Also require authorization for your health check endpoints
    endpoints.MapHealthChecks("/healthz").RequireAuthorization("OtherPolicy", "MainPolicy");
});

如果您在RequireAuthorization()中不提供策略名称,则适用默认政策。这与使用没有策略名称的 [Authorize] 过滤器的行为相同。

未完待续。。。。更多内容请去原地址阅读。

csdnfan
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
理解ASP.NET Core - 授权(Authorization).doc
07-09
理解ASP.NET Core - 授权(Authorization).doc
ASP.NET Core 的身份认证及鉴权
杂七杂八
11-03 9001
ASP.NET Core的身份认证功能。
4种认证(authentication)或授权authorization)方式
热门推荐
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
UseAuthentication和UseAuthorization
林舜煌的专栏
09-25 7378
Authentication跟Authorization的区别 这两个单词长的十分相似,而且还经常一起出现,很多时候容易搞混了 Authentication(认证) 明确是你谁,确认是不是合法用户。常用的认证方式有用户名密码认证。 Authorization授权) 明确你是否有某个权限。当用户需要使用某个功能的时候,系统需要校验用户是否需要这个功能的权限。 所以这两个单词是不同的概念,不同层次的东西。UseAuthorizationasp.net core 2.0是没有的。在3.0之后微软
ASP.Net CoreAuthorization的几种方式
Freewind的专栏
06-25 1万+
Authorization其目标就是验证Http请求能否通过验证。ASP.Net Core提供了很多种Authorization方式,详细可以参考 微软官方文档。在这里只详细介绍三种方式:PolicyMiddlewareCustom Attribute1. Policy : 策略授权先定义一个IAuthorizationRequirement类来定义策略的要求,以下例子支持传递一个age参数。 ...
.net core 全局 Authorize
ddsthinkyou123的专栏
07-29 3287
对于需要认证的控制器我们需要添加上[Authroize]特性,对每一个控制器我们都得添加这样一个特性,相信大部分童鞋都是这么干的。其实我们大可反向操作,对于无需认证的我们添加可匿名访问特性即可,而需要认证的控制器我们进行全局配置认证过滤器,如下: startup.cs public IServiceProvider ConfigureServices(IServiceCol...
[转]教你实践ASP.NET Core Authorization
weixin_34056162的博客
01-06 1447
本文转自:http://www.cnblogs.com/rohelm/p/Authorization.html   本文目录    Asp.net Core 对于授权的改动很友好,非常的灵活,本文以MVC为主,当然如果说webapi或者其他的分布式解决方案授权,也容易就可以实现单点登录都非常的简单,可以使用现成的IdentityServer框架或者自定义实现动非常方便和干净,如果你在...
聊聊asp.net core 授权流程
虚幻私塾
09-23 756
统一合并到一个策略对象去,对于未指定具体策略的[Authorize]特性,则采用默认授权策略(要求用户必须登录认证),同时也把这些特性指定的认证方案进行统一合并到一个策略对象去,然后对当前用户对合并后的策略所包含的认证方案一一进行身份认证,并将身份认证结果进行一一合并,然后就是对合并后的授权策略Requirement一一进行检查,如果全部授权通过,并且没有显式调用授权失败的方法,则授权成功。要看授权流程的具体执行逻辑,我们还是要看AuthorizationMiddleware类。
c# Microsoft.AspNetCore.Authorization控制controller必须登录才能访问
weixin_38938932的博客
08-11 1048
思路:使用ActionFilterAttribute类实现。 1.新建TestFilter类继承ActionFilterAttribute拦截所有请求 using Newtonsoft.Json; using log4net; using System; using System.Collections.Specialized; using System.IO; using System.Linq; using System.Net.Http; using System.Net.Http.Headers;
ASP.NET 网站在域环境内配置授权访问
weixin_30764137的博客
12-23 130
在 IIS ,通常需要配置域的某些用户或者用户组有权限访问部署的 WEB 站点或者 WEB 服务。我们知道要实现这种功能可以有如下几种方式: 代码,获取当前用户,到域服务器上去验证当前用户是否为合法用户。在 ASP.NET MVC 项目可以通过自定义 Filter 来实现这种功能。 配置,最好的方式,易于管理且对代码和项目本身改无改动,风险比较小。 本文将对配置修改 IIS...
role-policy-authorization-sample:演示在 ASP.NET Core 实现基于角色和基于策略的授权的示例应用程序
05-30
角色策略授权示例我们来谈谈基于系统定义的用户角色授权 API 和基于来自用户令牌的传入请求声明授权用户的两个重要用例。 阅读完整的文章以了解更多信息: 如果您发现解决方案有用,请留下星号。 有关更详细的文章和...
asp.net core 5.0 身份验证与授权 demo
01-05
使用visual studio 2019 创建的 asp...startup类注册使用Authentication和Authorization间件服务,在controller或action使用AuthorizeAttribute和AllowAnonymousAttribute控制访问权限。 详见代码,都有注释。
ASP_NET_Authorization.zip_.net登录页面_asp Authorization
09-23
这是一个简单的代码,包括登录页面,登记页,忘记密码”页,改变密码”页使用访问数据库和会话管理…最简单的代码...
Balea:Balea是ASP.NET Core开发人员的授权框架
05-14
=授权身份验证和授权听起来可能很相似,但是在身份和访问管理领域,两者都是不同的安全过程,因此了解这两个概念之间的差异是成功实施良好的IAM解决方案的关键。 身份验证是验证自己的行为,而授权是验证您可以...
C#的Task:异步编程的瑞士军刀
qq_35320456的博客
04-19 1979
C#的Task:异步编程的瑞士军刀
C#编程模式之组合模式(Composite)
weixin_50236846的博客
04-23 1140
创作背景:各位朋友,我们继续C#编程模式的探讨,这次探讨的模式是组合模式。它和桥接模式一样,是一种结构型设计模式,允许使用者将对象组合成树形结构来展示其“部分和整体”的层次结构。要求同样比较严格,用户对单个对象和组合对象的使用需具有一致性。组合模式我的理解就像是俄罗斯套娃,大圈套小圈😃😃。上代码!!!
贪心算法在Python、JavaScript、Java、C++和C#的多样化实现及其在钱币找零、分数骑士、活动选择、最小生成树与哈夫曼编码问题的应用示例
2401_84585615的博客
04-25 244
贪心算法是一种在每一步选择都采取在当前状态下最好或最优(即最有利)的选择,从而希望导致结果是全局最好或最优的算法策略。贪心算法在有最优子结构的问题尤为有效。下面我将提供5种不同编程语言实现的贪心算法示例,包括活动选择问题、钱币找零问题等。
buuctf re 45-48
最新发布
2301_80048347的博客
04-26 159
环境建立项目时,会产生.csproj文件,这是C#的工程文件,其记录了与工程有关的相关信息,例如包含的文件,程序的版本,所生成的文件的类型和位置信息等。.csproj,是C#项目文件的扩展名,它是“C Sharp Project”的缩写。对所给进行sha1解密,在进行md5加密即可。base64的,困了,思路比较简单,有空说。这是一堆,仔细看,是个游戏。
AI辅助编码体验
蹒跚路行
04-25 316
ai辅助编程使用心得,kimi不错
如何使用 ASP.NET Core Authorization 来实现身份验证和授权
05-22
ASP.NET Core Authorization是一个集成在ASP.NET Core授权框架,可以用来实现身份验证和授权。下面介绍如何使用ASP.NET Core Authorization来实现身份验证和授权。 1. 配置身份验证 在Startup.cs文件的ConfigureServices方法添加以下代码来配置身份验证: ``` services.AddAuthentication(options => { options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme; }) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = Configuration["Jwt:Issuer"], ValidAudience = Configuration["Jwt:Audience"], IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"])) }; }); ``` 这段代码使用JWT来进行身份验证,需要提供一个密钥作为签名,可以在appsettings.json配置。 2. 在控制器添加授权 在需要授权的控制器或方法上添加Authorize特性来限制访问: ``` [Authorize(Roles = "admin")] public class AdminController : Controller { // ... } ``` 这段代码限制只有拥有admin角色的用户才能访问AdminController。 3. 配置授权策略 通过配置授权策略,可以更细粒度地控制访问权限。在Startup.cs文件的ConfigureServices方法添加以下代码: ``` services.AddAuthorization(options => { options.AddPolicy("RequireAdminRole", policy => policy.RequireRole("admin")); }); ``` 这段代码配置了一个名为RequireAdminRole的策略,要求用户必须拥有admin角色才能访问。 在控制器或方法上使用Authorize特性指定授权策略: ``` [Authorize(Policy = "RequireAdminRole")] public class AdminController : Controller { // ... } ``` 这段代码限制只有拥有admin角色的用户才能访问AdminController。 以上就是使用ASP.NET Core Authorization来实现身份验证和授权的基本步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值