一.概述

授权是指用户能够访问资源的权限,如页面数据的查看、编辑、新增、删除、导出、下载等权限。ASP.NET Core 授权提供了多种且灵活的方式,包括:Razor pages授权约定、简单授权、Role角色授权、Claim声明授权、Policy策略授权、资源授权、视图授权。

  1.1 Razor pages约定授权

    Razor pages约定授权用于Razor page应用程序,以及MVC中的Identity  Razor Pages库,不适应于MVC中的控制器和视图。如下图适用MVC中Identity Razor Pages库:

    

    对于Razor pages应用程序,访问权限可以在启动时使用授权约定(Startup.cs),这些约定可为用户授权,并允许匿名用户访问各个页面的文件夹。可以使用cookie 身份验证或ASP.NET Core Identity来进行授权约定。下面是MVC项目添加个人账户后,默认Razor pages约定授权配置如下:

      services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1)

              .AddRazorPagesOptions(options =>

              {

                  options.AllowAreas = true;

                  //需要授权的用户(登录成功),才能访问区域文件夹(Identity/Account/Manage)

                  options.Conventions.AuthorizeAreaFolder("Identity", "/Account/Manage");

                  //需要授权的用户(登录成功),才能访问区域页面(Identity/Account/Logout.cshtml)

                  options.Conventions.AuthorizeAreaPage("Identity", "/Account/Logout");

              });

    如果是Razor page应用程序,约定授权pages目录下的页面或文件夹(不带区域),如下所示:

 services.AddMvc()

    .AddRazorPagesOptions(options =>

    {

        //需要授权访问的页面和文件夹。

        options.Conventions.AuthorizePage("/Contact");

        options.Conventions.AuthorizeFolder("/Private");

        //允许匿名访问的页面和文件夹。

        options.Conventions.AllowAnonymousToPage("/Private/PublicPage");

        options.Conventions.AllowAnonymousToFolder("/Private/PublicPages");

    })

    .SetCompatibilityVersion(CompatibilityVersion.Version_2_2);

    下面是组合授权和匿名访问:

     //授权访问的文件夹和允许匿名的文件

    .AuthorizeFolder("/Private").AllowAnonymousToPage("/Private/Public")

     //允许匿名访问的文件夹和需要授权访问的文件

    .AllowAnonymousToFolder("/Public").AuthorizePage("/Public/Private")

  

  1.2 简单授权

    简单授权是任何经过身份验证的用户能够访问的资源。使用过滤器属性:授权[Authorize]或匿名[AllowAnonymous],[Authorize]对应AuthorizeFilter过滤器,在mvc中可以应用于一个action或Controller,在razor page中可以应用于一个页面模型类PageModel,但不能应用于页面处理程序方法。razor page中简单授权如下所示:

   //需要授权访问的Logout页面

    [Authorize]

    public class LogoutModel : PageModel

    {

   //允许匿名访问的Login页面

    [AllowAnonymous]

    public class LoginModel : PageModel

    {

    注意:对于约定授权和简单授权都是只针对,经过身份验证的用户都能访问的资源。也就是只要登录成功的用户都能访问的资源。

    

  1.3 基于role角色授权       

    当创建用户时,它可能属于一个或多个角色。比如:张三可能属于管理员和用户角色,同时李四只是用户角色。创建和管理这些角色取决于授权过程的后备存储,角色验证是通过ClaimsPrincipal类上的IsInRole方法,IsInRole检查当前用户属于该角色,返回bool类型。关联着role角色表、UserRole用户关联角色表。

    基于角色的授权检查是声明性的,声明在控制器或action上,检查当前用户请求资源的权限,用户关联角色, 检查角色成员拥有的权限。

    下面是限制AdministrationController,只有Administrator角色成员的用户才能访问:

    [Authorize(Roles = "Administrator")]

    public class AdministrationController : Controller

    {

    }

    多个角色指定为逗号分隔列表:

    [Authorize(Roles = "HRManager,Finance")]

    public class SalaryController : Controller

    {

    }

    在action级别应用其他角色授权属性,来进一步限制访问:

[Authorize(Roles = "Administrator, PowerUser")]

public class ControlPanelController : Controller

{

    public ActionResult SetTime()

    {

    }

    [Authorize(Roles = "Administrator")]

    public ActionResult ShutDown()

    {

    }

}

    还可以锁定控制器(简单授权),但允许匿名(未经身份验证)对单个action访问。

[Authorize]

public class ControlPanelController : Controller

{

    public ActionResult SetTime()

    {

    }

    [AllowAnonymous]

    public ActionResult Login()

    {

    }

}

    对于Razor Pages应用程序,可以使用上面讲的约定授权,也可以运用AuthorizeAttribute到pageModel上,如下所示:

[Authorize(Policy = "RequireAdministratorRole")]

public class UpdateModel : PageModel

{

    public ActionResult OnPost()

    {

    }

}

    下面示例来演示role角色授权:

      (1) 创建AdministrationController,应用Authorize。

    [Authorize(Roles = "Administrator")]

    public class AdministrationController : Controller

    {

        public IActionResult Index()

        {

            return View();

        }

    }

      (2) 登录成功后,访问Administration资源,显示拒绝,如下所示:

        

      (3) 添加role角色表和UserRole用户角色表

        

      (4) 用户退出,再登录,访问Administration资源,OK

  1.4 基于Claim声明授权

    创建一个用户时,它可能会分配一个或多个Claims声明。Claims声明是表示哪些使用者名称值对。基于Claims声明的授权,将检查Claims声明的值,并允许对基于该值资源的访问。关联着UserClaim用户声明表

    (1) 添加Claims策略

      首先在Startup.cs文件中,需要注册策略policy,下面示例中策略名称是EmployeeOnly, 策略类型ClaimType是EmployeeNumber,还可以包括策略类型值。

    services.AddAuthorization(options =>

    {

        options.AddPolicy("EmployeeOnly", policy => policy.RequireClaim("EmployeeNumber"));

        //或者一个策略带有claimType类型和requiredValues值

        //options.AddPolicy("EmployeeOnly", policy => policy.RequireClaim("EmployeeNumber", "1", "2", "3", "4", "5"));

    });

    (2) 将policy策略名称应用在控制器上

      [Authorize(Policy = "EmployeeOnly")]

      public class EmployeeController : Controller

      {

          // GET: /<controller>/

          public IActionResult Index()

          {

              return View();

          }

      }

    (3) 用户登录,访问Employee资源,访问拒绝

      

    (4) 在UserClaim声明表插入一条数据(上面注册EmployeeOnly声明策略,只要求验证claimType类型。所以表中claimvalue的1值不启作用, 如果要表中claimvalue启作用,可以在注册EmployeeOnly时输入requiredValues值)

      

    (5) 用户退出,再登录,访问Employee资源,OK

  参考文献

    授权

asp.net core系列 49 Identity 授权(上)的更多相关文章

  1. asp.net core系列 51 Identity 授权(下)

    1.6 基于资源的授权 前面二篇中,熟悉了五种授权方式(对于上篇讲的策略授权,还有IAuthorizationPolicyProvider的自定义授权策略提供程序没有讲,后面再补充).本篇讲的授权方式 ...

  2. asp.net core系列 50 Identity 授权(中)

    1.5 基于策略的授权 在上篇中,已经讲到了授权访问(authorization)的四种方式.其中Razor Pages授权约定和简单授权二种方式更像是身份认证(authentication) ,因为 ...

  3. asp.net core系列 46 Identity介绍

    一. Identity 介绍 ASP.NET Core Identity是一个会员系统,可为ASP.NET Core应用程序添加登录功能.可以使用SQL Server数据库配置身份以存储用户名,密码和 ...

  4. asp.net core系列 52 Identity 其它关注点

    一.登录分析 在使用identity身份验证登录时,在login中调用的方法是: var result = await _signInManager.PasswordSignInAsync(Input ...

  5. asp.net core系列 48 Identity 身份模型自定义

    一.概述 ASP.NET Core Identity提供了一个框架,用于管理和存储在 ASP.NET Core 应用中的用户帐户. Identity添加到项目时单个用户帐户选择作为身份验证机制. 默认 ...

  6. asp.net core系列 47 Identity 自定义用户数据

    一.概述 接着上篇的WebAppIdentityDemo项目,将自定义用户数据添加到Identity DB,自定义扩展的用户数据类应继承IdentityUser类, 文件名为Areas / Ident ...

  7. asp.net core 系列 10 配置configuration (上)

    一.  ASP.NET Core 中的配置概述 ASP.NET Core 中的应用配置是基于键值对,由configuration 程序提供. configuration  将从各种配置源提供程序操作键 ...

  8. 【目录】asp.net core系列篇

    随笔分类 - asp.net core系列篇 asp.net core系列 68 Filter管道过滤器 摘要: 一.概述 本篇详细了解一下asp.net core filters,filter叫&q ...

  9. Asp.net Core 系列之--5.认证、授权与自定义权限的实现

    ChuanGoing 2019-11-24 asp.net core系列已经来到了第五篇,通过之前的基础介绍,我们了解了事件订阅/发布的eventbus整个流程,初探dapper ORM实现,并且简单 ...

随机推荐

  1. netcore入门-基础

    .NETCORE1.0出来了,咦不错,什么开源,跨平台的,观望下等2.0:我擦2.0出来了可以学习了,截止到目前2.1都快出来了,是时候学习一下了. 先建一个webapi项目,从简单的demo开始 l ...

  2. ajax 原生态和jquery封装区别

    一.原生态 var xmlHttp = false; try{ if( xmlHttp && xmlHttp.readyState != 0 ){ xmlHttp.abort(); } ...

  3. 谈谈书本《c#物联网程序设计基础》中的技术瑕疵,如果你将要读本书,请进来看看!

    今天去书店看到一本名为<c#物联网程序设计基础>的书,对物联网感兴趣的我抓起来就看,书中的项目都是上位机开发项目,较简单,如果物联网开发只是这样,看起来我做物联网开发也是绰绰有余.这边书我 ...

  4. MySQL事务原理&实战【官方精译】

    事务隔离级别 事务隔离是数据库处理的基础之一.隔离是I中的首字母 ACID ; 隔离级别是在多个事务同时进行更改和执行查询时,对结果的性能和可靠性,一致性和可重复性之间的平衡进行微调的设置. Inno ...

  5. 【原】用Java编写第一个区块链(一)

    写这篇随笔主要是尝试帮助自己了解如何学习区块链技术开发. [本文禁止任何形式的全文粘贴式转载,本文来自 zacky31 的随笔] 目标: 创建一个最基本的"区块链" 实现一个简单的 ...

  6. .NET Orm 性能测试

    .NET Orm 性能测试 简介 OrmBenchmark 这个项目主要是为了测试主要的Orm对于 SqlServer 数据库的查询并将数据转换成所需 POCO 对象的耗时情况(好吧,实际上不完全or ...

  7. 你不知道的JavaScript--Item26 异步的脚本加载

    先来看这行代码: <script src = "allMyClientSideCode.js"></script> 这有点儿--不怎么样."这该放 ...

  8. 跟我学ASP.NET MVC之八:SportsStrore移动设备

    摘要: 现在的web程序开发避免不了智能手机和平板电脑上的使用,如果你希望发布你的应用程序给更广大客户使用的话,你将要拥抱可移动web浏览器的世界.向移动设备用户发布一个好的使用体验是很困难的-比只是 ...

  9. java程序运行结果

    下面这段代码的运行结果是:AB.B 分析原因:也就是说在你的operate()方法中,参数是引用传递,也就是x,y分别为a,b引用的拷贝,在方法中,你给x追加了值,也就相应的改变了a的值,但是第二条语 ...

  10. Java元编程及其应用

    首先,我们且不说元编程是什么,他能做什么.我们先来谈谈生产力. 同样是实现一个投票系统,一个是python程序员,基于django-framework,用了半小时就搭建了一个完整系统,另外一个是标准的 ...