1.声明的介绍

基于角色的授权管理,适用于角色变化不大,并且用户权限不会频繁更改的场景。

在更复杂的环境下,仅仅通过给用户分配角色并不能有效地控制用户访问权限。

基于声明的授权有许多好处,它使认证和授权分离,同时分离了角色和授权逻辑,提供更细粒度的权限控制。

Claim就是关于用户信息的陈述,例如姓名、性别、电话、角色等。

声明被包装成令牌(Token),并可以通过JSON Web Token (JWT)传递。

.net中声明的属性(System.Security.Claims.Claim类)

Subject属性(System.Security.Claims.ClaimsIdentity,主题),

Type属性(声明类型,只读,String类型),

Value属性(声明的值,只读,String类型),

ValueType(声明的值类型,只读,String类型),

Issuer属性(声明的颁发者,只读,String类型)

//获取声明,这里通过获取认证用户(IPrincipal)的标识(Indentity)并通过linq遍历出所有的声明

public IHttpActionResult GetClaims()

        {

            var identity = User.Identity as ClaimsIdentity;//System.Security.Claims.ClaimsIndentity类
var claims = from c in identity.Claims

                         select new

                         {

                             subject = c.Subject.Name,

                             type = c.Type,

                             value = c.Value

                         };

            return Ok(claims);

        }
//返回值举例

[
{

    "subject": "Hamza",

    "type": "http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider",

    "value": "ASP.NET Identity"

  },

{

    "subject": "Hamza",

    "type": "iss",

    "value": "http://localhost:59822"

  },
{
    "subject": "Hamza",


    "type": "AspNet.Identity.SecurityStamp",




    "value": "a77594e2-ffa0-41bd-a048-7398c01c8948"




  }


]




2,实现基于声明的标志Implementing Claims-Based Identity




第一步,让第三方应用支持声明方式的授权


WIF4.5类库已经实现了基础类库(核心在System.Security.Claims命名空间),可以直接使用。


System.Security.Claims.ClaimsAuthenticationManager.Authenticate(string, System.Security.Claims.ClaimsPrincipal)方法,用于认证;


System.Security.Claims.ClaimsAuthorizationManager.CheckAccess(System.Security.Claims.AuthorizationContext context)方法,用于授权;


这两者都是virtual ,因此可以override


在支持owin规范的host中,可以使用middleware的方式拦截请求,实现认证和授权。


在Web API框架和MVC框架中,可以使用过滤器拦截机制。


另外Web API框架还支持继承System.Net.Http.HttpMessageHandler类(或者其子类System.Net.Http.DelegatingHandler)进行请求消息拦截。


以上方式混合使用时,请求管道参考(Web API框架下),其中“认证”使用HttpMessageHandler,“授权”使用过滤器




第二步,获取或者构造声明的颁发者(Issuer)。


可以使用现有产品,例如ADFS或者Azure AD


Azure AD 身份验证库 (ADAL) .net类库参考https://msdn.microsoft.com/zh-cn/library/azure/microsoft.identitymodel.clients.activedirectory.aspx


命名空间:   Microsoft.IdentityModel.Clients.ActiveDirectory
程序集:  Microsoft.IdentityModel.Clients.ActiveDirectory(Microsoft.IdentityModel.Clients.ActiveDirectory.dll 中)


Azure AD的认证流程。




第三步,配置第三方应用“信任”颁发者。


例如,颁发者提供什么声明,令牌如何签名,获取令牌的URL等


进入Azure.cn管理门户,在Azure Active Directory中添加应用程序。


第四步,配置Issuer以便了解一些第三方的信息。


例如第三方用于接收Token的URL;Issuer提供的声明,哪些是必需的,哪些是可选的;是否需要对Issuer加密等。
												


											
Web API集成Azure AD认证的更多相关文章
	

    
								
  1. Asp.Net MVC 4 Web API 中的安全认证-使用OAuth
		
    各种语言实现的oauth认证: http://oauth.net/code/ 上一篇文章介绍了如何使用基本的http认证来实现asp.net web api的跨平台安全认证. 这里说明一个如何使用oa ...
    
		
    2. 
						
  2. SimpleInjector与MVC4集成,与Web Api集成,以及通过属性注入演示
		
    SimpleInjector与MVC4集成,与Web Api集成,以及通过属性注入演示   1,与MVC集成 见http://simpleinjector.codeplex.com/wikipage? ...
    
		
    3. 
						
  3. 【Azure 事件中心】使用Azure AD认证方式创建Event Hub Consume Client + 自定义Event Position
		
    问题描述 当使用SDK连接到Azure Event Hub时,最常规的方式为使用连接字符串.这种做法参考官网文档就可成功完成代码:https://docs.azure.cn/zh-cn/event-h ...
    
		
    4. 
						
  4. Azure 静态 web 应用集成 Azure 函数 API
		
    前几次我们演示了如果通过Azure静态web应用功能发布vue跟blazor的项目.但是一个真正的web应用,总是免不了需要后台api服务为前端提供数据或者处理数据的能力.同样前面我们也介绍了Azur ...
    
		
    5. 
						
  5. 为Asp.Net Web Api添加Http基本认证
		
    Asp.net Web Api提供了RESTFul web服务的编程接口.默认RESTFul 服务没有提供任何验证或者基于角色的验证,这显然不适合Put.Post.Delete这些操作.Aps.net ...
    
		
    6. 
						
  6. Asp.net MVC使用FormsAuthentication,MVC和WEB API可以共享身份认证 (转载)
		
    在实际的项目应用中,很多时候都需要保证数据的安全和可靠,如何来保证数据的安全呢?做法有很多,最常见的就是进行身份验证.验证通过,根据验证过的身份给与对应访问权限.同在Web Api中如何实现身份认证呢 ...
    
		
    7. 
						
  7. ABP实战--集成Ladp/AD认证
		
    参照Hunter的ABP-Zero模块中用户管理部分. 由于我们公司的各系统基本都是AD帐号登录的,所以我们需扩展ABP的AuthenticationSource. 添加MyLdapAuthentic ...
    
		
    8. 
						
  8. Web Api集成Swagger
		
    WebApi集成Swagger 1.新建一个WebApi空项目 2.新建一个Person实体类: public class Person { public int ID { get; set; } p ...
    
		
    9. 
						
  9. asp.net web api集成微信服务(使用Senparc微信SDK)
		
    /// <summary> /// 微信请求转发控制器 /// </summary> [RoutePrefix("weixin")] public clas ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. #51单片机#蓝牙模块(ATK-SPP-HC06从机串口)的使用方法
			
    #include <AT89X51.H> #include <intrins.h> // 函数原形定义 #define uchar unsigned char #define  ...
    
			
    2. 
						
  2. ubuntu 设置固定DNS
			
    1.打开 xxx@ubuntu:~$ sudo vim /etc/resolvconf/resolv.conf.d/base 2.输入以下DNS,保存退出. nameserver 8.8.8.8 na ...
    
			
    3. 
						
  3. 微软系统工具包Sysinternals Suite官方下载地址
			
    Sysinternals Suite是微软官方发布的系统工具包,其中包含数十款实用的绿色系统工具软件,个个身怀绝技,是你维护Windows系统不可或缺的好帮手. 最新版Sysinternals Sui ...
    
			
    4. 
						
  4. Netty实现原理浅析
			
    1.总体结构 先放上一张漂亮的Netty总体结构图,下面的内容也主要围绕该图上的一些核心功能做分析,但对如Container Integration及Security Support等高级可选功能,本 ...
    
			
    5. 
						
  5. 四、 kafka consumer 配置
			
    consumer配置 #指明当前消费进程所属的消费组,一个partition只能被同一个消费组的一个消费者消费(同一个组的consumer不会重复消费同一个消息) group.id #针对一个part ...
    
			
    6. 
						
  6. 基于Nfs和Samba的Lamp环境实现
			
    一 系统环境二 网络文件系统与web环境的结合三 搭建lamp环境四 实现nfs服务五 实现samba服务六 实现效果 一 系统环境 系统平台:CentOS release 6.8 (Final) L ...
    
			
    7. 
						
  7. SDRAM 之时序收敛(学习了特权老师)
			
    到现在我还是不太理解SDRAM的时序设置,但是可能蒙对了.(呵呵) 开发环境: quartus II 13.0   板子: DE2 EP2C35F672C6N 时序约束step 1:create cl ...
    
			
    8. 
						
  8. Python  中的进程与 锁
			
    理论知识 操作系统背景知识 顾名思义,进程即正在执行的一个过程.进程是对正在运行程序的一个抽象. 进程的概念起源于操作系统,是操作系统最核心的概念,也是操作系统提供的最古老也是最重要的抽象概念之一.操 ...
    
			
    9. 
						
  9. 02-17 位图验证码(一般处理程序)+AJAX
			
    建立一个空网站,在设计界面工具箱中拖入一个TextBox工具,一个按钮,外加一个Image图片工具(充当数字.字母以图片形式).但是这样做出来的验证码会出现一个问题,每当点击一下按钮,界面自动提交一遍 ...
    
			
    10. 
						
  10. const的作用
			
    const的作用 const是C语言的一种关键字,起受保护,防止以外的变动的作用!可以修饰变量,参数,返回值,甚至函数体.const可以提高程序的健壮性,你只管用到你想用的任何地方. (一)const ...
    
			
    11.