如何为asp.net mvc和web API实现相同的身份验证机制。
为ASP.NET MVC和Web API实现相同的身份验证机制可以通过以下步骤实现:
- 配置身份验证方式:在ASP.NET MVC和Web API的配置文件(如Web.config)中,可以选择使用Forms身份验证、Windows身份验证或基于令牌的身份验证等方式。根据需求选择合适的身份验证方式。
- 创建身份验证过滤器:在ASP.NET MVC中,可以通过创建一个继承自
AuthorizeAttribute的自定义身份验证过滤器来实现身份验证。该过滤器可以应用于控制器或操作方法上,以确保只有经过身份验证的用户才能访问相应的资源。 - 创建身份验证中间件:在Web API中,可以通过创建一个自定义的身份验证中间件来实现身份验证。该中间件可以在请求管道中的适当位置进行身份验证,并根据验证结果决定是否允许请求继续执行。
- 共享身份验证凭据:为了让ASP.NET MVC和Web API共享身份验证凭据,可以使用ASP.NET的Forms身份验证机制或基于令牌的身份验证机制。在身份验证成功后,可以将用户凭据存储在Cookie中(对于Forms身份验证)或生成一个令牌并返回给客户端(对于基于令牌的身份验证)。客户端在后续的请求中需要携带这些凭据来进行身份验证。
- 调用身份验证机制:在ASP.NET MVC和Web API的控制器或操作方法中,可以通过使用
[Authorize]属性来标记需要进行身份验证的资源。这样,只有经过身份验证的用户才能访问这些资源。
需要注意的是,ASP.NET MVC和Web API虽然可以共享相同的身份验证机制,但它们的身份验证过程和配置方式可能有所不同。因此,在实现时需要根据具体的需求和框架版本进行相应的调整。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云身份认证服务(CAM):提供了一套完整的身份认证和访问管理解决方案,可用于管理用户、角色、权限等。详情请参考:https://cloud.tencent.com/product/cam
请注意,以上答案仅供参考,具体实现方式可能因环境和需求而异。
相关·内容
1回答
Web 2 OData端点中的简单Web令牌(SWT)认证
asp.net-web-api、odata
好吧,情况就是这样。
我们已经有一个现有的ASP.NET MVC 5站点,具有自定义表单身份验证、登录、注册等功能,并且已经实现了角色和配置文件的自定义数据库。
我们现在正在向MVC站点添加一些新功能,我们决定使用Web 2 OData 3端点,它位于另一个域中。Web目前不包括任何身份验证,但我们需要能够将请求映射到某个用户,以便从后端获取他的角色等。MVC和API站点使用相同的后端。
我们想要完成的是,当用户登录MVC站点时,MVC站点使用用户的凭据调用Web Api服务器到服务器,并接收一个令牌,然后客户端可以用它来调用web服务。
当API接收到带有令牌的请求时,它可以将请求映射到后端
浏览 0提问于2013-12-05得票数 2
回答已采纳
1回答
从通过Facebook认证的MVC站点调用web
azure、authentication、asp.net-core、asp.net-core-mvc、asp.net-core-webapi
我不是安全方面的专家,所以我想在这里验证这些选项,因为我对所有的可能性都有点迷茫。
我有一个ASP.NET Core应用程序,并向它添加了Facebook授权(也会有其他的授权,比如Microsoft,以及与Azure的集成)。因此,用户目前可以单击“登录”按钮,然后单击“Facebook”按钮;他们可以重定向到Facebook,输入他们的凭据,最后返回我的站点,在那里进行身份验证。这很好,在声明中我收到了名标识符和电子邮件地址。
现在,我想添加一个,它由ASP.NET站点(以及稍后被其他用户调用)调用。
由于我必须在web中实现自己的授权机制,所以我考虑将身份验证令牌从MVC站点传递到web
浏览 0提问于2019-01-25得票数 0
回答已采纳
1回答
使用asp.net web进行身份验证和授权相关的疑问
asp.net、asp.net-mvc-4、asp.net-web-api
我必须启动一个新项目,以便在MVC 4和Web中开发。我以前有使用MVC 4的经验,但是使用Web,这将是我的第一个项目。我知道不同的平台需要使用web。
我有一些与web有关的关注。我向你们介绍如下:
1)我首先关注的是用户身份验证。我查看了,所以我提出了问题,并遵循了所选答案中给出的和。我还有几个问题要问:
( a)当我们通过表单身份验证进行用户身份验证时,我们创建了一个cookie,跟踪用户是否经过身份验证,但使用web,我们不存储cookie,而是在内容头中传递用户凭据。在这种情况下,我不知道如何跟踪用户的登录状态?
( b)我的另一个担忧是限制未经授权的访问,如果我没有错的话,我可以
浏览 3提问于2014-08-12得票数 0
回答已采纳
2回答
将站点拆分为REST和Web (AspNetCore MVC)的授权和身份验证设计
rest、asp.net-mvc、authentication、authorization
我正在考虑将一个项目从单块分解到服务器端REST,再加上独立的基于web的前端(或者,任何其他第三方用户),它们可以托管在不同的服务器和域上。
我应该如何处理用户身份验证和授权?表单身份验证基本上没有了,所有调用都将以相同的方式处理到API端点,无论它们来自我们的web应用程序,还是第三方应用程序。
服务器端REST将成为网关管理员,并且只允许有条件地访问。理想情况下,我将使用标准的C# ASP.Net成员。框架将是ASPNetCore和MVC 6。
浏览 0提问于2017-06-01得票数 1
回答已采纳
3回答
如何将应用程序从经典ASP迁移到ASP.NET MVC?
asp.net、asp.net-mvc-3、web-applications、asp-classic
目前,我们通过.NET 2.0技术使用经典ASP开发了许多web应用程序(外部和内部)。每个web应用程序都有自己的登录屏幕,对自己的自定义数据库进行身份验证,或者使用Windows身份验证。用户可以访问其中一个或多个应用程序,这意味着他们必须注销并重新登录到他们想要访问的应用程序中。所有应用程序都共享部分后端数据源。此外,由于没有代码/业务逻辑共享,业务逻辑还嵌入到UI中,并且在应用程序中被复制。屏幕截图#1简要介绍了现有的体系结构。
屏幕截图#2展示了建议的体系结构,我希望这将有助于更快的开发、代码/业务的可重用性,并且可能更简单的维护。用户将访问外部或内部url。在外部,用户将
浏览 3提问于2011-06-01得票数 15
回答已采纳
2回答
对外部api调用使用另一个auth方法
asp.net、asp.net-mvc、authentication、asp.net-web-api
我有一个带有MVC的Web应用程序。当用户使用网站时,身份验证和授权目前由我使用的全局表单身份验证自动处理,在Web.config中配置如下:
<authentication mode="Forms">
<forms loginUrl="~/Login" slidingExpiration="true" timeout="1800" defaultUrl="/"></forms>
</authentication>
<authorization>
浏览 8提问于2016-08-27得票数 4
回答已采纳
1回答
是怎么发生的。标识Server4用户登录页面重定向。重定向网址的目的
asp.net-mvc、asp.net-core、asp.net-identity、identityserver4
我对Asp.net核心身份和身份服务器4非常陌生。我正在学习关于使用asp.net核心和身份服务器4使用开放Id连接实现身份验证的在线培训课程。
如果我进一步说明我的解决方案,将Asp.net核心mvc web应用程序作为客户端。另一个asp.net核心mvc web应用程序IDP (Identity Server4)和另一个asp.net核心mvc web api作为资源服务器。
对于未经身份验证的用户,IDP上的登录页面将出现。我的问题是客户端web (asp.net核心web应用程序)是如何知道用户没有被认证的?我的猜测是,当用户第一次访问web应用程序访问令牌没有出现在授权头上时,身份
浏览 0提问于2018-09-09得票数 0
1回答
仅在MVC和Web应用程序中使用asp.net身份验证一次
angularjs、asp.net-mvc-5、asp.net-web-api2、asp.net-identity-3
我有这样的解决方案:
我只需要在ASP.NET MVC站点和WebApi2.0上进行一次身份验证(我的意思是,我不需要在MVC站点上检查用户名和密码是否正确,然后再在Web上检查它们)。
老实说,我认为AngularJS和ASP.NET MVC并不是很好的一对。但是,就是这样!ASP.NET MVC站点和Web可以位于不同的服务器上。
在这个时刻,我可以在MVC应用程序上进行身份验证,我不能在web上“通过”身份验证。我使用的是ASP.NET标识的默认代码。所以,我有我的startup课程:
app.UseCookieAuthentication(new CookieAuthenti
浏览 0提问于2016-11-02得票数 0
1回答
使用角MVC web API架构的cookie和承载身份验证
asp.net-mvc、authentication、asp.net-web-api、asp.net-web-api2
在我当前的项目中,我有以下几个应用程序包装angularjs应用程序(在angularJS中为TemplateUrl加载模板提供了一个操作)。视图是.cshtml,而不是简单的HTML页面,这使我可以灵活地使用Razor引擎,并做一些简单的事情,比如检查用户是否在角色中,而不是呈现HTML模板部分。
第二个项目是Web项目。一旦加载了AngularJS应用程序,它就会直接调用API端点,并且只使用MVC加载模板。
MVC+AngularJS托管在->上subdomain.mydomain.com WEB托管在-> subdomain2.mydomain.com上
目前应用程序工作没
浏览 0提问于2016-06-07得票数 0
2回答
MVC + WebApi。授权和身份验证
c#、asp.net-mvc、authentication、asp.net-web-api
我有一个Web项目和一个ASP.NET Api项目(独立的项目)。对数据库的访问完全通过Web Api实现(包括授权和认证)。Web是一个客户端,ASP.NET Api是一个服务器。
那么,如何在ASP.NET MVC项目中(在客户端)正确实现授权和身份验证呢?我读了很多关于Web是如何实现的(通过令牌),但是我不能理解如何在ASP.NET MVC中正确地使用这个令牌。
实现每个请求的wrap?我也不知道如何在ASP.NET MVC中定义用户角色。也许有一些方法可以重写Web授权的标准方法来使用Web令牌?ASP.NET MVC客户端上的Authorize属性可以工作吗?如果可能,请提供这样一
浏览 3提问于2018-05-27得票数 2
1回答
验证和显示来自第三方应用程序的Azure AD安全Web应用程序视图
asp.net-mvc、azure、authentication、azure-active-directory、azure-web-app-service
背景I有一个MVC 5 Web应用程序,作为Web托管在Azure App Service中,并使用Azure AD进行保护;任何拥有有效AD凭据的人都可以对自己进行身份验证,并查看Web中的所有内容;
目标我只需要给外部的个人提供一个MVC-来查看。为此,我们已经在Azure AD中创建了一个用户,我们将与外界分享详细信息。因此,第三方将需要编写一些代码来对Azure AD进行身份验证,并以非交互方式查看此HTML内容(这意味着不允许第三方应用程序提示从Azure AD输入用户凭据)。
我对的看法
假设我是第三方,我将从控制台/WinForms/HTML page对Azure AD进行身份
浏览 0提问于2018-02-22得票数 0
回答已采纳
1回答
将Asp.Net WebAPI移至独立于AngularJS应用程序的Asp.Net MVC站点的站点
angularjs、asp.net-mvc、asp.net-web-api2
我们有一个使用AngularJS作为前端的Asp.Net MVC5.0项目。该项目在同一项目中有WebAPI控制器,并将其部署到同一网站。该应用程序是使用个人用户帐户项目模板构建的,并使用Asp.Net标识和声明。有一个文件上传模块,用户可以通过webapi和ng- 100MB+ - upload插件上传一些文件。由于用户群的增加,我们希望通过将API分离到新服务器中的单独站点并在需要时进行扩展来快速提高上传速度。由于应用编程接口控制器目前采用的是OWIN cookie认证的ASP.Net MVC解决方案,所以应用编程接口由cookie认证中间件进行授权。将API放入单独站点的快捷方法是什么?
浏览 11提问于2017-12-20得票数 0
1回答
如何验证来自MVC客户端的web api调用
asp.net-mvc、authentication、asp.net-web-api
因此,我有一个ASP.NET MVC应用程序,它有自己的用户,并使用cookies和声明身份验证。我正在添加一个将托管在其他地方的Web应用程序。MVC应用程序是应该调用api的唯一东西。我想知道如何正确地验证对api的调用。所有的授权检查都是在MVC应用程序中完成的,目前API并不关心授权,只关心身份验证。
我的第一个想法是只有一个“应用程序用户”,它将请求一个承载令牌,然后将其与每个请求一起传递。web将对此用户进行身份验证并提供令牌。听起来对吗?有更好的办法吗?
如果将来web确实关心授权,那么作为登录用户进行api调用的正确方法是什么呢?
谢谢!
浏览 2提问于2015-05-19得票数 3
回答已采纳
1回答
如何在MVC 4应用程序中混合Azure AD认证和Windows身份验证?
asp.net、.net、asp.net-mvc-4、windows-authentication、azure-active-directory
我对托管在公司服务器(而不是Azure)上的ASP.NET MVC 4 (.NET 4.6.1)应用程序有一个设计要求来执行以下操作:
Check用户通过Windows身份验证进行身份验证
(A)是-指定用户为“认证用户”
(B)不使用OpenIdConnect (OWIN)来使用Azure Active进行身份验证。
一旦通过认证,就会使用控制器、方法等标准的授权属性。我已经实现了Windows和Azure的身份验证,它们是单独的MVC应用程序,但从来没有在一起过。
我已经找到了几个描述如何混合Windows和Forms身份验证的来源,但没有一个用于此组合。
有人对如何实现这一目标有深刻的见
浏览 1提问于2016-07-29得票数 2
1回答
如何在ASP.NET Web API Core中实现身份验证和授权?
authentication、authorization、asp.net-core-mvc、asp.net-core-webapi
我们正在构建ASP.NET MVC核心web应用程序,并通过ASP.NET核心Web API访问数据。
我们必须对MVC Core和Web API Core端进行身份验证和授权。
如果用户在MVC核心web应用程序中进行了身份验证,则在访问web API核心上的数据时,不应再次进行身份验证。如果用户直接访问web API,则不应允许和要求身份验证。
我们还希望通过谷歌进行身份验证。
浏览 15提问于2016-09-08得票数 1
2回答
在API和web应用程序之间共享身份验证方法
asp.net、api、authentication
我希望在web应用程序和web之间共享一个身份验证实现。web应用程序将是ASP.NET (主要是MVC 4),API将主要是ASP.NET WEB,尽管我预计它还会有一些自定义模块或处理程序。
我想:
在应用程序和API之间共享尽可能多的身份验证实现。
web应用程序的行为类似于窗体身份验证(吸引人的登录页、注销选项、在请求需要身份验证/授权时重定向到/从登录页面)。
让API调用者使用更接近标准HTTP的东西(401 -未经授权,而不是302 -重定向)。
提供不需要更改密码的客户端和服务器端注销机制(因此HTTP退出,因为客户端通常缓存他们的凭据)。
实现此功能的方法是为web应用程序使
浏览 0提问于2012-11-19得票数 3
4回答
保护匿名Web API请求的方法
c#、asp.net、asp.net-mvc
我有一个ASP.NET MVC (而不是ASP.NET Core)单页应用程序,前端有角js。
我的客户端(浏览器)通过ASP.NET Web与服务器进行对话。现在,web应用程序在https上,但是匿名上。没有登录/用户身份验证。
web应用程序以向导的形式出现,用户可以在该向导中来回添加或更新网页上的输入字段。然后通过Web在服务器上更新表单输入值。
我正在寻找一种单独保护Web调用的的方法,特别是POST/ PUT请求。总之,我希望防止任何用户直接从POSTMAN或Fiddler调用我的Web。Web,虽然匿名,但只能从请求的浏览器会话中调用。
要做到这一点,我有哪些选择呢?
我
浏览 10提问于2017-12-22得票数 32
2回答
将JWT令牌存储在cookie中
asp.net-mvc、access-token
这是我的设计:
1认证服务器,在成功认证时给出JWT令牌。
提供信息的多个API资源服务器(当用户经过身份验证时)。
现在,我想构建我的ASP.NET MVC前端。是否可以将我在身份验证后收到的令牌放在cookie中,这样我就可以使用我需要进行的每个安全调用来访问它了?我使用RestSharp DLL来执行我的http调用。如果它有安全漏洞,那么我应该在哪里存储我的令牌?
我会在cookie中使用以下代码:
System.Web.HttpContext.Current.Response.Cookies.Add(new System.Web.HttpCoo
浏览 4提问于2015-06-29得票数 11
回答已采纳
1回答
如何让ADAL在使用缓存的登录凭据登录用户到应用程序之前检查用户名
c#、asp.net-mvc、oauth、azure-active-directory、adal
我有一个使用进行身份验证的ASP.NET MVC应用程序。除了这个场景之外,所有的功能都很完美。
使用user@domain.com启动应用程序和登录,对用户进行身份验证并显示应用程序主页。
关闭浏览器(注销未实现)
再次启动应用程序,并以其他用户的身份单击“登录”。
输入用户名为abc@domain.com -此用户是假的,不存在。
预期行为:用户不存在或登录失败的错误
应用程序行为:默认情况下登录user@domain.com,而不检查输入的新用户名。
注意: portal.azure.com的工作方式是相同的。
问题:是否有一种方法可以更改此行为,以便在使用缓存令
浏览 0提问于2019-04-09得票数 0
回答已采纳
1回答
Web :授权或/和身份验证
api、authentication、oauth、authorization、hmac
我创建了asp.net web项目。我需要添加授权或/和身份验证。我读过很多关于OAuth、SAML、JWT、HMAC等的文章,每次我看到作者都强调OAuth不是身份验证,您需要将authN与authZ区别开来。我有点困惑,因为我不明白:
当我需要使用身份验证(SSO,登录/密码)和何时授权(OAuth,令牌)的API?
HMAC、JWT是用于授权还是用于身份验证?因为它们是经过签名的,所以我可以将userid添加到此令牌中,使用类似于用户标识符。
authN工作流和authZ工作流有什么真正的区别?
浏览 7提问于2015-10-14得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
