之前我们一直使用的是微软自带的身份验证方式,即使用[Authorize]标签来做。

但是这种方式十分不灵活,微软推荐的方式是加Policy,但是这种方式对我们来说还是不够灵活。

所以本节我们用完全自己校验的方式完成权限验证。

OnNavigateAsync介绍

在 App.razor 里面的Router节点,微软给了一个OnNavigateAsync方法,这个方法在每次路由跳转的时候都会执行,所以我们可以把我们的权限验证搬到这里来。

App.razor

首先,我们在Router节点上增加OnNavigateAsync

<Router AppAssembly="@typeof(App).Assembly" OnNavigateAsync="PermissionCheck">

这里我们的方法叫做PermissionCheck

然后我们来看这个PermissionCheck方法。

    private void PermissionCheck(NavigationContext context)

    {

        var whiteList = Furion.App.Configuration["WhiteList"];

        if (whiteList != null && whiteList.Split(',').Contains(context.Path))

        {

            return;

        }

        var user = Furion.App.User;

        if (user == null)

        {

            NavigationManager.NavigateTo("/Login");

            return;

        }

        if (user.Identity?.IsAuthenticated != true)

        {

            NavigationManager.NavigateTo("/Login");

            return;

        }

        if (!int.TryParse(user.FindFirst(ClaimTypes.Role)?.Value, out var roleId))

        {

            NavigationManager.NavigateTo("/Login");

            return;

        }

        var permission = PermissionEntity

            .Where(x => x.Roles!.Any(y => y.Id == roleId) && x.Url == context.Path).First();

        if (permission == null)

        {

            NavigationManager.NavigateTo("/Login");

        }

    }

这里我们需要把Login这个页面拿出来,因为我们的Login页面应该是一个白名单页面,无需登录也可以访问,所以我在appsettings.json中增加了一项,为WhiteList,这里面以,分隔,所有在这里面的路径都是白名单路径,可以不用登录直接访问。

"WhiteList": "Login"

这里注意,OnNavigateAsync给的Path是相对路径,不带最前面的/,所以我们的Login也不能有/

这里判断如果是白名单,则直接return,正常跳转。

var user = Furion.App.User;

        if (user == null)

        {

            NavigationManager.NavigateTo("/Login");

            return;

        }

        if (user.Identity?.IsAuthenticated != true)

        {

            NavigationManager.NavigateTo("/Login");

            return;

        }

然后获取我们的登录信息,如果没有登录,那么直接跳转到Login页面。

if (!int.TryParse(user.FindFirst(ClaimTypes.Role)?.Value, out var roleId))

        {

            NavigationManager.NavigateTo("/Login");

            return;

        }

这里获取我们当时在LoginController里的RoleId

这里注意,我稍微改了一下,之前的文章里我们这里面放的是RoleName,本来是打算根据用户再获取权限,但是后来想想有点麻烦,就稍微改动了一下,具体的可以看下新的源码。实战中建议还是不要直接放RoleId进去,因为这个玩意在实战中往往是一对多的。

var permission = PermissionEntity

            .Where(x => x.Roles!.Any(y => y.Id == roleId) && x.Url == context.Path).First();

        if (permission == null)

        {

            NavigationManager.NavigateTo("/Login");

        }

最后我们判断一下数据库里这个角色有没有这个路径的权限,如果没有,我们就跳转。

这样我们就可以实现根据path来判断权限了。

这里由于是教程类的,所以所有的判断我都是直接从数据库里取得,正式使用的时候建议放到缓存里面,如果没有页面都走一次数据库,那么数据库的压力会非常大。

默认数据的路径我稍微修改了一下,去掉了前面的/,这里直接把数据库给删掉,然后重新运行就行了。

源码在github:https://github.com/j4587698/BlazorLearn,分支lesson5

从零开始Blazor Server(5)--权限验证的更多相关文章

  1. 从零开始Blazor Server(15)--总结

    我们用了14篇文章,基本上把一个后台管理系统需要的UI部分都说的差不多了.所以这套文章也该到了结束的时候了. 这里面有很多问题,比如我们直接使用UI来拉数据库信息而没有使用service,再比如我们大 ...

  2. 从零开始Blazor Server(1)--项目搭建

    项目介绍 本次项目准备搭建一个使用Furion框架,Blazor的UI使用BootstrapBlazor.数据库ORM使用Freesql的后台管理系统. 目前的规划是实现简单的注册,登录.增加管理员跟 ...

  3. 从零开始Blazor Server(3)--添加cookie授权

    认证方式简述 Blazor Server微软官方还是推荐直接使用Cookie授权,因为本来Blazor Server就是前后端不分离的.不存在Cookie跨域等一系列问题. 只要不是使用SSO之类的统 ...

  4. 从零开始Blazor Server(8)--增加菜单以及调整位置

    这篇干啥 这篇文章主要是把前面的一些东西稍微调整一下,使其更适合后面的内容. 主要是两个事,一个是把原来的PermissionEntity直接变成MenuEntity,直接让最后一级是菜单,这样后面就 ...

  5. 从零开始Blazor Server(9)--修改Layout

    目前我们的MainLayout还是默认的,这里我们需要修改为BootstrapBlazor的Layout,并且处理一下菜单. 修改MainLayout BootstrapBlazor已经自带了一个La ...

  6. 从零开始Blazor Server(6)--基于策略的权限验证

    写这个的原因 现在BootstrapBlazor处于大更新时期,Menu组件要改为泛型模式. 本来我们的这一篇应该是把Layout改了,但是改Layout肯定要涉及到菜单,如果现在写了呢,就进入一个发 ...

  7. 从零开始Blazor Server(7)--使用Furion权限验证

    序 上面两篇我们讲了怎么用OnNavigateAsync来验证权限,又写了怎么用策略来验证权限. 其实我们既然集成了Fution,就可以用Furion带的方式来验证. 创建AdminHandler 我 ...

  8. 从零开始Blazor Server(2)--整合数据库

    开篇 上一篇文章我们留了个尾巴,没有把freesql整合进去,这篇文章我们来整合. 目前的思路呢,是做一个简单的四不像的RABC,也有用户.角色. 权限三部分. 但是其中每个用户只有一个角色,即用户和 ...

  9. 从零开始Blazor Server(4)--登录系统

    说明 上一篇文章中我们添加了Cookie授权,可以跳转到登录页了.但是并没有完成登录,今天我们来完成它. 我们添加Cookie授权的时候也说了,这套跟MVC一模一样,所以我们登录也是跟MVC一模一样. ...

随机推荐

  1. spring boot 统一接口异常返回值

    创建业务 Exception 一般在实际项目中,推荐创建自己的 Exception 类型,这样在后期会更容易处理,也比较方便统一,否则,可能每个人都抛出自己喜欢的异常类型,而造成代码混乱 Servic ...

  2. 739. Daily Temperatures - LeetCode

    Question 739. Daily Temperatures Solution 题目大意:比今天温度还要高还需要几天 思路:笨方法实现,每次遍历未来几天,比今天温度高,就坐标减 Java实现: p ...

  3. SQL中常用的字符串LEFT函数和RIGHT函数详解!

    今天继续整理日常可能经常遇到的一些处理字符串的函数,记得点赞收藏!以备不时之需!看到最后有惊喜! LEFT(expression, length)函数 解析:从提供的字符串的左侧开始提取给定长度的字符 ...

  4. vs2022+resharper C++ = 拥有一个不输clion的代码体验

    这篇文章详细讲一下resharper C++在vs2022中的配置,让他拥有跟clion一样好用的代码补全功能. 为什么clion写代码体验很好好用为啥还要用vs呢,因为网上很多教程都是基于visua ...

  5. 变量作用域——JavaSE基础

    变量作用域 局部变量.成员变量.静态变量的区别 类型 声明位置 从属于 生命周期 局部变量 方法或语句块内部 方法/语句块 从声明位置开始,直到方法或语句块执行完毕,局部变量消失 成员变量 (实例变量 ...

  6. Windows-matlab简易安装-用于数字图像处理

    安装 下载链接 解压文件得到 双击setup.exe 主要注意几点 使用文件安装密匙 只需安装这三个即可 将两个文件夹里面的dll文件复制到安装目录的 /bin/win64 目录 两个 .lic 文件 ...

  7. go程序添加远程调用tcpdump功能

    最近开发的telemetry采集系统上线了.听起来高大上,简单来说就是一个grpc/udp服务端,用户的机器(路由器.交换机)将它们的各种统计数据上报采集.整理后交后端的各类AI分析系统分析.目前华为 ...

  8. 数据库系列:MySQL索引优化总结(综合版)

    1 背景 作为一个常年在一线带组的Owner以及老面试官,我们面试的目标基本都是一线的开发人员.从服务端这个技术栈出发,问题的范围主要还是围绕开发语言(Java.Go)等核心知识点.数据库技术.缓存技 ...

  9. RPA SAP财务内部对账机器人

    [简介] 本机器人用于使用SAP软件的集团公司间往来对账前台登录SAP账户和密码,需退出PC微信,输入法切换为英文半角状态. [详细流程] 1.清空Excel-VBA管理工具原始数据 2.输入对账时间 ...

  10. CMU15445 (Fall 2019) 之 Project#2 - Hash Table 详解

    前言 该实验要求实现一个基于线性探测法的哈希表,但是与直接放在内存中的哈希表不同的是,该实验假设哈希表非常大,无法整个放入内存中,因此需要将哈希表进行分割,将多个键值对放在一个 Page 中,然后搭配 ...