本文转自:http://www.cnblogs.com/rohelm/p/Authorization.html

本文目录

Asp.net Core 对于授权的改动很友好,非常的灵活,本文以MVC为主,当然如果说webapi或者其他的分布式解决方案授权,也容易就可以实现单点登录都非常的简单,可以使用现成的IdentityServer框架或者自定义实现动非常方便和干净,如果你在运行示例代码的时候未达到预期效果,请把文章拉到结尾寻找答案。

本文示例代码下载,github我这访问不了,暂且直接上传博客园存储了。

准备

  1. 创建一个名为AuthorizationForoNetCore的(web)解决方案,选择Empty模板
  2. 添加相关nuget包引用Microsoft.AspNetCore.Mvc(选择最新版本)
  3. 编辑Startup.cs文件,添加mvcservice并进行默认路由配置
     
     1 public class Startup
    
 2     {
    
 3         public void ConfigureServices(IServiceCollection services)
    
 4         {
    
 5             services.AddMvc();
    
 6         }
    
 7
    
 8         public void Configure(IApplicationBuilder app)
    
 9         {
    
10             app.UseMvc(routes =>
    
11             {
    
12                 routes.MapRoute(
    
13                      name: "default",
    
14                      template: "{controller=Home}/{action=Index}/{id?}");
    
15             });
    
16         }
    
17     }

  4. 添加Controllers文件夹,添加HomeContrller 

     public class HomeController : Controller
    
    {
    
        public IActionResult Index()
    
        {
    
            return View();
    
        }
    
    }

  5. 创建Views/Home文件夹,并添加Index(Action)对应的Index.cshtml文件

    1
    2
    3
    4
    5
    6
    <!--Index.cshtml-->
    假如生活欺骗了你
    假如生活欺骗了你,
    不要悲伤,不要心急!
    忧郁的日子里须要镇静:
    相信吧,快乐的日子将会来临!   

使用Authorization

  1. 添加相关nuget包(均使用最新版本)
    1. Microsoft.AspNetCore.Authorization
    2. Microsoft.AspNetCore.Authentication.Cookies
  2. 在ConfigureServices()方法中添加对应服务:  services.AddAuthorization()
  3. Index(Action)方法上添加 [Authorize] 特性,毫无疑问,添加后执行dotnet run 指令后后会返回401的授权码,那么接着操作
  4. 编辑Startup.csConfigureapp.UseMvc()方法之前,我们添加一个cookie 中间件,用于持久化请求管道中的身份配置信息
    1
    2
    3
    4
    5
    6
    7
    8
    app.UseCookieAuthentication(new CookieAuthenticationOptions
    {
                   AuthenticationScheme = "MyCookieMiddlewareInstance",
                   LoginPath = new PathString("/Account/Unauthorized/"),
                   AccessDeniedPath = new PathString("/Account/Forbidden/"),
                   AutomaticAuthenticate = true,
                   AutomaticChallenge = true
    });  

  5. tip:相关配置参数细节请参阅:https://docs.asp.net/en/latest/security/authentication/cookie.html

  6. 添加Controllers/Account文件夹,添加 AccountController.cs 控制器文件,实现上述指定的方法,可能这里你会疑惑,为什么文档里不是一个 /Account/Login 这类的,文档说了别较真,这就是个例子而已,继续你就明白了。
  7. 添加并实现上述中间件重定向的action 方法如下,你可以看到其实Unauthorized方法模拟实现了登陆的过程。tip:假如你添加Unauthorized视图,并且没有该不实现模拟登陆,那么运行你会直接看到 Unauthorized.cshtml 的内容,这里我们不需要添加该视图,仅作说明。
  8. public class AccountController : Controller
    
{
    
     public async Task<IActionResult> Unauthorized(string returnUrl = null)
    
     {
    
         List<Claim> claims = new List<Claim>();
    
         claims.Add(new Claim(ClaimTypes.Name, "halower", ClaimValueTypes.String, "https://www.cnblogs.com/rohelm"));
    
         var userIdentity = new ClaimsIdentity("管理员");
    
         userIdentity.AddClaims(claims);
    
         var userPrincipal = new ClaimsPrincipal(userIdentity);
    
         await HttpContext.Authentication.SignInAsync("MyCookieMiddlewareInstance", userPrincipal,
    
             new AuthenticationProperties
    
             {
    
                 ExpiresUtc = DateTime.UtcNow.AddMinutes(20),
    
                 IsPersistent = false,
    
                 AllowRefresh = false
    
             });

        if (Url.IsLocalUrl(returnUrl))
    
         {
    
             return Redirect(returnUrl);
    
         }
    
         else
    
         {
    
             return RedirectToAction("Index", "Home");
    
         }
    
     }

     public IActionResult Forbidden()
    
     {
    
         return View();
    
     }
    
}

  9. 编辑 Home/Index.schtml

    @using System.Security.Claims;

@if (User.Identities.Any(u => u.IsAuthenticated))
    
{
    
<h1>
    
欢迎登陆 @User.Identities.First(u => u.IsAuthenticated).FindFirst(ClaimTypes.Name).Value
    
</h1>
    
<h2>所使用的身份验证的类型:@User.Identity.AuthenticationType</h2>
    
}
    
<article>
    
假如生活欺骗了你<br />
    
假如生活欺骗了你<br />
    
不要悲伤,不要心急<br />
    
忧郁的日子里须要镇静<br />
    
相信吧,快乐的日子将会来临  
    
</article>
  10. 运行代码你会看到如下结果(程序获取我们提供的由issuer发布claims并展示在视图中,后续会检查Claims看他们是否匹配)

使用全局授权策略

  1. 去除Home/Index (Action)上的  [Authorize]  特性
  2. 添加 Views/Account/Forbidden.cshtml 页面,内容为 <h1>拒绝访问</h1>
  3. 修改 ConfigureServices 方法中的 services.AddMvc() 使用它的 AddMvc(this IServiceCollection services, Action<MvcOptions> setupAction) 重载
  4. 运行查看结果,你会发现这几乎成了一个无限的重定向从而造成错误,因为每个页面都需要授权。
  5. 为 AccountController 添加 [AllowAnonymous] 特性,启动匿名访问,再次运行项目,查看结果
  6. 结果就是重定向到了 Forbidden.cshtml 页面

使用角色授权

  1. 在 HomeController 上添加 [Authorize(Roles = "Administrator")] 特性
  2. 在模拟登陆处( Unauthorized方法中 )添加角色说明的身份信息条目:
  3. claims.Add(new Claim(ClaimTypes.Role, "Administrator", ClaimValueTypes.String, "https://www.cnblogs.com/rohelm"));
  4. 运行项目查看结果

可以使用中你会发现Asp.net Core安全验证方面较以往的版本最大的改变就是全部采用中间件的方式进行验证授权,并很好的使用了Policy (策略)这个概念,下那么继续~。

基于声明的授权

  1. 返回Startup.cs,修改 services.AddAuthorization() 方法如下:

    services.AddAuthorization(options =>
    
{
    
    options.AddPolicy("EmployeeOnly", policy => policy.RequireClaim("EmployeeNumber"));
    
});
  2. 修改HomeController上的特性,添加 [Authorize(Policy = "EmployeeOnly")]
  3. 运行项目查看结果,发现被拒绝了
  4. 在模拟登陆处 Unauthorize方法添加: 
    claims.Add(new Claim("EmployeeNumber", "123456", ClaimValueTypes.String, "http://www.cnblogs.com/rohelm"));
  5. goto 3.
  6. 多重策略的应用,与之前的版本几乎一样,例如本次修改的结果可以为: 
     [Authorize(Roles = "Administrator")]
    
    public class HomeController:Controller
    
    {
    
        [Authorize(Policy = "EmployeeOnly")]
    
        public IActionResult Index()
    
        {
    
            return View();
    
        }
  7. 详情请参阅:https://docs.asp.net/en/latest/security/authorization/claims.html的说明

自定义授权策略

自定义授权策略的实现,包括实现一个 IAuthorizationRequirement 的Requirement,和实现 AuthorizationHandler<TRequirement> 的处理器,这里使用文档

https://docs.asp.net/en/latest/security/authorization/policies.html中的Code。

  1. 添加 MinimumAgeHandler 处理器实现

    public class MinimumAgeRequirement: AuthorizationHandler<MinimumAgeRequirement>, IAuthorizationRequirement
    
    {
    
        int _minimumAge;

        public MinimumAgeRequirement(int minimumAge)
    
        {
    
            _minimumAge = minimumAge;
    
        }

        protected override void Handle(AuthorizationContext context, MinimumAgeRequirement requirement)
    
        {
    
            if (!context.User.HasClaim(c => c.Type == ClaimTypes.DateOfBirth))
    
            {
    
                return;
    
            }

            var dateOfBirth = Convert.ToDateTime(
    
                context.User.FindFirst(c => c.Type == ClaimTypes.DateOfBirth).Value);

            int calculatedAge = DateTime.Today.Year - dateOfBirth.Year;
    
            if (dateOfBirth > DateTime.Today.AddYears(-calculatedAge))
    
            {
    
                calculatedAge--;
    
            }

            if (calculatedAge >= _minimumAge)
    
            {
    
                context.Succeed(requirement);
    
            }
    
        }
    
    }
  2. 在 AddAuthorization  中添加一个名为Over21的策略 
    options.AddPolicy("Over21", policy => policy.Requirements.Add(new MinimumAgeRequirement(21)));
  3. 在HomeController上应用该策略  [Authorize(Policy = "Over21")]
  4. 在 Unauthorized 函数中添加对应的声明信息条目 claims.Add(new Claim(ClaimTypes.DateOfBirth, "1900-01-01", ClaimValueTypes.Date));

  5. 修改时间(例如小于21岁的生日,2000-01-01)并运行调试,查看结果

对一个Requirement应用多个处理器

tip:上面的演示,我们使用了一个同时实现AuthorizationHandler<MinimumAgeRequirement>, IAuthorizationRequirement的MinimumAgeRequirement来做演示,但是如果一个Requirement徐要实现多个处理器就需要分开写了,原因很简单,这里无法实现类的多重继承。

下面我们实现一个使用Token登陆的需求

  1. 添加一个LoginRequirement的需求

        public class LoginRequirement: IAuthorizationRequirement
    
    {
    
    }
  2. 添加一个使用用户名密码登陆的处理器 
     public class HasPasswordHandler : AuthorizationHandler<LoginRequirement>
    
    {
    
        protected override void Handle(AuthorizationContext context, LoginRequirement requirement)
    
        {
    
            if (!context.User.HasClaim(c => c.Type == "UsernameAndPassword" && c.Issuer == "http://www.cnblogs.com/rohelm"))
    
                return;
    
            context.Succeed(requirement);
    
        }
    
    }
  3. 在一些场景中我们也会使用发放访问令牌的方式让用户登陆 
    public class HasAccessTokenHandler : AuthorizationHandler<LoginRequirement>
    
    {
    
        protected override void Handle(AuthorizationContext context, LoginRequirement requirement)
    
        {
    
            if (!context.User.HasClaim(c => c.Type == "AccessToken" && c.Issuer == "http://www.cnblogs.com/rohelm"))
    
                return;

            var toeknExpiryIn = Convert.ToDateTime(context.User.FindFirst(c => c.Type == "AccessToken" && c.Issuer == "http://www.cnblogs.com/rohelm").Value);

            if (toeknExpiryIn > DateTime.Now)
    
            {
    
                context.Succeed(requirement);
    
            }
    
        }
    
    }
  4. 在 AddAuthorization  中添加一个名为CanLogin的策略 
     options.AddPolicy("CanLogin", policy => policy.Requirements.Add(new LoginRequirement()));
  5. 注册自定义策略 
      services.AddSingleton<IAuthorizationHandler, HasPasswordHandler>();
    
  services.AddSingleton<IAuthorizationHandler, HasAccessTokenHandler>();
  6. 在Unauthorized 函数中添加对应的声明信息条目 
      claims.Add(new Claim("UsernameAndPassword", "123456", ClaimValueTypes.String, "http://www.cnblogs.com/rohelm"));
     // 测试切换登陆声明方式
     // claims.Add(new Claim("AccessToken", DateTime.Now.AddMinutes(1).ToString(), ClaimValueTypes.String, "http://www.cnblogs.com/rohelm"));
  7. 在HomeController上应用该策略  [Authorize(Policy = "CanLogin")]
  8. 运行并查看结果。

基于资源的Requirements

在实际开发者中,除了基于用户的授权验证外,通过我们也会遇到针对一些资源的授权限制,例如有的人可以编辑文档,有的人只能查看文档,由此引出该话题

https://docs.asp.net/en/latest/security/authorization/resourcebased.html

  1. 定义一个Document类

    public class Document
    
    {
    
        public int Id { get; set; }
    
        public string Author { get; set; }
    
    }
  2. 定义Document仓储接口 
    public interface IDocumentRepository
    
    {
    
        IEnumerable<Document> Get();
    
        Document Get(int id);
    
    }
  3. 模拟实现上述接口 
    public class FakeDocumentRepository : IDocumentRepository
    
    {
    
        static List<Document> _documents = new List<Document> {
    
            new Document { Id = 1, Author = "halower" },
    
            new Document { Id = 2, Author = "others" }
    
        };
    
        public IEnumerable<Document> Get()
    
        {
    
            return _documents;
    
        }

        public Document Get(int id)
    
        {
    
            return _documents.FirstOrDefault(d => d.Id == id);
    
        }
    
    }
  4. 注册接口实现类 
    services.AddSingleton<IDocumentRepository, FakeDocumentRepository>();
  5. 创建一个 DocumentController 并修改为如下内容 
    public class DocumentController : Controller
    
    {
    
        IDocumentRepository _documentRepository;

        public DocumentController(IDocumentRepository documentRepository)
    
        {
    
            _documentRepository = documentRepository;
    
        }

        public IActionResult Index()
    
        {
    
            return View(_documentRepository.Get());
    
        }

        public IActionResult Edit(int id)
    
        {
    
            var document = _documentRepository.Get(id);

            if (document == null)
    
                return new NotFoundResult();

            return View(document);
    
        }
    
    }
  6. 添加对应 Index.cshtml  视图文件 
    @model IEnumerable<AuthorizationForoNetCore.Modles.Document>

<h1>文档列表</h1>
    
@foreach (var document in Model)
    
{
    
    <p>
    
        @Html.ActionLink("文档 #" + document.Id, "编辑", new { id = document.Id })
    
    </p>
    
}
  7. 添加对应的 Edit.cshtml 视图文件 
    @model AuthorizationForoNetCore.Modles.Document

<h1>文档 #@Model.Id</h1>
    
<h2>作者: @Model.Author</h2>
  8. 定义EditRequirement 
    public class EditRequirement : IAuthorizationRequirement
    
 {
    
 }
  9. 添加对应的编辑文档处理器 
    public class DocumentEditHandler : AuthorizationHandler<EditRequirement, Document>
    
    {
    
        protected override void Handle(AuthorizationContext context, EditRequirement requirement, Document resource)
    
        {
    
            if (resource.Author == context.User.FindFirst(ClaimTypes.Name).Value)
    
            {
    
                context.Succeed(requirement);
    
            }
    
        }
    
    }
  10. 在 ConfigureServices() 方法中注册处理器实现 
    1 services.AddSingleton<IAuthorizationHandler, DocumentEditHandler>();
  11. 由于对于文档的授权服务仅仅反正在操作方法的内部,因此我们需要直接注入 IAuthorizationService 对象并在需要的Action内部直接处理 
    public class DocumentController : Controller
    
    {
    
        IDocumentRepository _documentRepository;
    
        IAuthorizationService _authorizationService;

        public DocumentController(IDocumentRepository documentRepository, IAuthorizationService authorizationService)
    
        {
    
            _documentRepository = documentRepository;
    
            _authorizationService = authorizationService;
    
        }

        public IActionResult Index()
    
        {
    
            return View(_documentRepository.Get());
    
        }

        public async Task<IActionResult> Edit(int id)
    
        {
    
            var document = _documentRepository.Get(id);

            if (document == null)
    
                return new NotFoundResult();

            if (await _authorizationService.AuthorizeAsync(User, document, new EditRequirement()))
    
            {
    
                return View(document);
    
            }
    
            else
    
            {
    
                return new ChallengeResult();
    
            }
    
        }
    
    }
  12. 运行查看结果

在视图中进行授权

问题来了额,上面示例的视图中怎么做限制了,那就继续了

1.使用  @inject 命令注入 AuthorizationService

2.应用该上述同样策略,做简单修改

@using Microsoft.AspNetCore.Authorization

@model IEnumerable<AuthorizationForoNetCore.Modles.Document>

@inject IAuthorizationService AuthorizationService

@using AuthorizationForoNetCore.Policy

<h1>文档列表</h1>

@{

    var requirement = new EditRequirement();

    foreach (var document in Model)

    {

        if (await AuthorizationService.AuthorizeAsync(User, document, requirement)) {

    <p>

        @Html.ActionLink("文档 #" + document.Id, "编辑", new { id = document.Id })

    </p>

    }

}

}

请在运行时清理Cookie,或者在试验时直接暂时禁用

之前写的一个插件,谁有时间帮升级支持下asp.net Core:https://github.com/halower/JqGridForMvc

 
分类: Asp.net Core

[转]教你实践ASP.NET Core Authorization的更多相关文章

  1. 教你实践ASP.NET Core Authorization

    本文目录 Asp.net Core 对于授权的改动很友好,非常的灵活,本文以MVC为主,当然如果说webapi或者其他的分布式解决方案授权,也容易就可以实现单点登录都非常的简单,可以使用现成的Iden ...

  2. ASP.NET Core Authorization

    ASP.NET Core Authorization 本文目录 Asp.net Core 对于授权的改动很友好,非常的灵活,本文以MVC为主,当然如果说webapi或者其他的分布式解决方案授权,也容易 ...

  3. win10 uwp 手把手教你使用 asp dotnet core 做 cs 程序

    本文是一个非常简单的博客,让大家知道如何使用 asp dot net core 做后台,使用 UWP 或 WPF 等做前台. 本文因为没有什么业务,也不想做管理系统,所以看到起来是很简单. Visua ...

  4. 一篇文章教你学会ASP.Net Core LINQ基本操作

    一篇文章教你学会ASP.Net Core LINQ基本操作 为什么要使用LINQ LINQ中提供了很多集合的扩展方法,配合lambda能简化数据处理. 例如我们想要找出一个IEnumerable< ...

  5. ASP.NET Core & Docker 实战经验分享

    一.前言 最近一直在研究和实践ASP.NET Core.Docker.持续集成.在ASP.NET Core 和 Dcoker结合下遇到了一些坑,在此记录和分享,希望对大家有一些帮助. 二.中间镜像 我 ...

  6. Building microservices with ASP.NET Core (without MVC)(转)

    There are several reasons why it makes sense to build super-lightweight HTTP services (or, despite a ...

  7. win10 uwp 使用 asp dotnet core 做图床服务器客户端

    原文 win10 uwp 使用 asp dotnet core 做图床服务器客户端 本文告诉大家如何在 UWP 做客户端和 asp dotnet core 做服务器端来做一个图床工具   服务器端 从 ...

  8. 《ASP.NET Core应用开发入门教程》与《ASP.NET Core 应用开发项目实战》正式出版

    “全书之写印,实系初稿.有时公私琐务猬集,每写一句,三搁其笔:有时兴会淋漓,走笔疾书,絮絮不休:有时意趣萧索,执笔木坐,草草而止.每写一段,自助覆阅,辄摇其首,觉有大不妥者,即贴补重书,故剪刀浆糊乃不 ...

  9. ASP.NET Core OceLot 微服务实践

    1.OceLot中间件介绍 在传统的BS应用中,随着业务需求的快速发展变化,需求不断增长,迫切需要一种更加快速高效的软件交付方式.微服务可以弥补单体应用不足,是一种更加快速高效软件架构风格.单体应用被 ...

随机推荐

  1. AHCI: Failed to attach drive to Port1 (VERR_GENERAL_FAILURE).

    在mac操作系统下,安装VirtualBoxVm虚拟机,虚拟机里面安装wind7操作系统.在启动虚拟机的时候报错:AHCI: Failed to attach drive to Port1 (VERR ...

  2. Hadoop的学习--安装配置与使用

    安装配置 系统:Ubuntu14.04 java:1.7.0_75 相关资料 官网 下载地址 官网文档 安装 我们需要关闭掉防火墙,命令如下: sudo ufw disable 下载2.6.5的版本, ...

  3. GDB调试命令

    1.查看源码: list [函数名][行数] 2.暂停程序 (1)设置断点: a.break + [源代码行号][源代码函数名][内存地址] b.break ... if condition   .. ...

  4. ARM CPU大小端

    ARM CPU大小端: 大端模式:低位字节存在高地址上,高位字节存在低地址上 小端模式:高位字节存在高地址上,低位字节存在低地址上 STM32属于小端模式,简单的说,比如u32 temp=0X1234 ...

  5. 你真的会玩SQL吗?透视转换的艺术

    你真的会玩SQL吗?系列目录 你真的会玩SQL吗?之逻辑查询处理阶段 你真的会玩SQL吗?和平大使 内连接.外连接 你真的会玩SQL吗?三范式.数据完整性 你真的会玩SQL吗?查询指定节点及其所有父节 ...

  6. go-hbase的Scan模型源码分析

    git地址在这里: https://github.com/Lazyshot/go-hbase 这是一个使用go操作hbase的行为. 分析scan行为 如何使用scan看下面这个例子,伪代码如下: f ...

  7. [C1] 仿 Excel 实现(C1FlexGrid)

    一  分析阶段 根据 Excel 表格区域的划分,如下图,基本上以4行*3列的框架搭建: 第一行为列头区域     ==>  C1FlexGrid.ColumnHeaders 第二行为单元格区域 ...

  8. 利用scp传输文件

    在linux下一般用scp这个命令来通过ssh传输文件. 从服务器上下载文件 scp username@servername:/path/filename /var/www/local_dir(本地目 ...

  9. 【干货分享】前端面试知识点锦集04(Others篇)——附答案

    四.Others部分 技术类 1.http状态码有哪些?分别代表是什么意思? (1).成功2×× 成功处理了请求的状态码.200 服务器已成功处理了请求并提供了请求的网页.204 服务器成功处理了请求 ...

  10. js生成一个不重复的ID的函数的进化之路

    在MongoDB中的ObjectID,可以理解为是一个不会重复的ID,这里有个链接http://blog.csdn.net/xiamizy/article/details/41521025感兴趣可以去 ...