如何在Asp.Net核心控制器中使用基于策略和基于角色?
在Asp.Net核心控制器中,可以使用基于策略和基于角色来实现访问控制和权限管理。
基于策略(Policy-based)是一种灵活的访问控制方法,它允许开发人员定义自定义的访问规则。通过定义策略,可以根据用户的角色、声明、资源等条件来控制访问权限。在Asp.Net核心中,可以使用Policy类和Authorization属性来实现基于策略的访问控制。
首先,需要在Startup.cs文件的ConfigureServices方法中配置策略。可以使用AddAuthorization方法来添加策略,并通过RequireRole、RequireClaim等方法来定义策略的条件。例如:
services.AddAuthorization(options =>
{
options.AddPolicy("AdminOnly", policy =>
policy.RequireRole("Admin"));
});上述代码定义了一个名为"AdminOnly"的策略,要求用户的角色为"Admin"才能访问。
接下来,在控制器的方法或类上使用Authorize属性,并指定要应用的策略。例如:
[Authorize(Policy = "AdminOnly")]
public IActionResult AdminPage()
{
// 只有具有"Admin"角色的用户才能访问该方法
return View();
}上述代码将"AdminOnly"策略应用于AdminPage方法,只有具有"Admin"角色的用户才能访问该方法。
基于角色(Role-based)是一种常见的访问控制方法,它根据用户的角色来控制其权限。在Asp.Net核心中,可以使用Authorize属性和角色名称来实现基于角色的访问控制。
首先,需要在Startup.cs文件的ConfigureServices方法中配置角色。可以使用AddIdentity方法来添加角色,并通过AddEntityFrameworkStores方法将角色存储在数据库中。例如:
services.AddIdentity<IdentityUser, IdentityRole>()
.AddEntityFrameworkStores<ApplicationDbContext>();上述代码将IdentityUser作为用户实体,IdentityRole作为角色实体,并将它们存储在ApplicationDbContext中。
接下来,在控制器的方法或类上使用Authorize属性,并指定要应用的角色。例如:
[Authorize(Roles = "Admin")]
public IActionResult AdminPage()
{
// 只有具有"Admin"角色的用户才能访问该方法
return View();
}上述代码将"Admin"角色应用于AdminPage方法,只有具有"Admin"角色的用户才能访问该方法。
总结起来,基于策略和基于角色都是在Asp.Net核心控制器中实现访问控制和权限管理的方法。基于策略提供了更灵活的访问控制规则,可以根据自定义的条件来控制权限;而基于角色则是一种常见的访问控制方法,根据用户的角色来控制其权限。根据具体需求,可以选择适合的方法来实现访问控制。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云访问管理(CAM):https://cloud.tencent.com/product/cam
- 腾讯云身份与访问管理(IAM):https://cloud.tencent.com/product/iam
- 腾讯云访问控制(ACM):https://cloud.tencent.com/product/acm
相关·内容
1回答
基于自定义角色的身份验证
、、、
对于在我的asp.net mvc 4应用程序中实现角色和权限,我有一个非常复杂的需求。我知道ASP.NET身份验证,但这不符合我的要求。
我的应用程序中有15-20个控制器,它们有各自的视图,一些视图具有部分视图,这些视图正在Jquery代码中处理并从那里加载。
现在我有以下要求:
(1)某些控制器仅可由perticular角色访问。1)控制器中的某些视图仅可由perticular角色访问。2)在网格视图中,只有某些列和操作(如Edit/Create/Delete )仅可由perticular角色访问。
我正在考虑在角色的基础上实现对控制器、操作和视图的检查,但如果将来我有多个角色和自定义角色
浏览 2提问于2017-04-01得票数 0
回答已采纳
让我们暂时远离ASP.NET标识,然后说我们正在为我们的应用程序构建一个定制的身份验证/授权系统。
它将包含以下表格,以实现完全的灵活性:
用户
角色
权限
UserRoles
RolePermissions
有了以上所述,我们可以在应用程序中有一个成熟的用户管理部分,其中管理员可以说用户A具有具有权限C、D、F的角色B。
在过去一直适用于我,但现在让我切换到使用ASP.NET标识的ASP.NET Core应用程序。
试图利用微软提供给您的一切ASP.NET核心标识在UserManager中,我希望仍然能够实现上述目标,但ASP.NET核心标识MVC方式。
我所知道的:
我可以很容易地使用Us
浏览 3提问于2017-10-30得票数 14
回答已采纳
在过去的几天里,我一直在学习Asp.Net的身份,我熟悉使用[Authorize(Roles = "Admin")]或[Authorize(Policy = "OnlyAdminAndModerators")]授权控制器。
我使用的是JWT令牌,当通过“授权(Roles=”Admin“)授权时,我所要做的就是在令牌上设置一个角色类型,如下所示:
{
"nameid": "a173e923-1808-4d7d-2b64-08d684882677",
"unique_name": "yuri&#
浏览 0提问于2019-02-07得票数 6
1回答
我正在使用asp.net核心授权,我有一些角色,如SuperAdmin,管理,用户。每个用户将被分配其中一个。SuperAdmin可以改变任何user.So的角色,基本上是我想要的动态角色系统。那么在哪里映射用户角色数据和
授权(角色=“管理”)
去哪里检查用户的角色?意思是这个东西检查角色的位置。
--我在使用Windows身份验证
浏览 2提问于2019-10-24得票数 0
4回答
我们了解如何在ASP.NET标识中使用WebApi实现身份验证和授权。例如,我们可以登录用户,然后检索他的安全令牌和角色。
我们现在要添加权限。例如,用户steve可能在管理角色中。现在,我们希望将读取、编辑和删除权限分配给管理角色。我们如何在ASP.NET标识中做到这一点?ASP.NET标识中是否存在现有的权限基础设施?
浏览 7提问于2014-02-04得票数 8
回答已采纳
我使用标准方式在ASP.Net Core 6中实现了Azure AD身份验证,并在控制器类的顶部使用了授权属性。所有这些都很正常。
builder.Services.AddMicrosoftIdentityWebApiAuthentication(builder.Configuration, "AzureAd");
除了身份验证之外,我还试图使用TypeFilterAttribute类构建自定义授权。下面的代码片段:
public class CustomAuthorizeAttribute : TypeFilterAttribute
{
public CustomAu
浏览 15提问于2022-08-10得票数 6
回答已采纳
2回答
我正在为mongodb中的应用程序编写模式。通常在带有Sql的asp.net中,我们将页面/UI分配给每个角色,这意味着角色有访问页面的权限(查看/编辑)。当角色登录到应用程序时,他只能在分配给该角色的页面中查看/编辑,则将不会为该角色显示联合国指定的页面。
在c#中,我通过在pre_init事件中编写代码来限制角色。平均来说,Stack应用程序和我尝试使用mongoDB的方式一样。
var mongoose = require('mongoose'),
Schema = mongoose.Schema;
var rolesSchema = new Sche
浏览 3提问于2017-03-01得票数 0
回答已采纳
1回答
我需要在.NET 5 API上实现基于角色的授权,但问题是,我们不想用属性和角色列表来修饰所有控制器,因为所有这些配置都将来自配置文件(JSON)或外部服务(TBD),其方式是将角色映射到控制器和操作,并且我们希望拥有集中所有这些逻辑的东西,就像我们在使用身份验证过滤器和属性之前所做的那样。
我一直在阅读MS的观点,即一切都是通过策略和需求来处理的,但我不知道如何将所有这些都融入到我们想要的模式中。最重要的是,因为我看不到(或看不到)如何访问Controller和Action的描述符来知道我在执行授权过程时站在哪里。
在这种新模式下,有没有办法做到这一点?
编辑:我找到了一种获取控制器和操作描
浏览 3提问于2020-12-05得票数 2
从MS docs中,我可以看到我可以定义多个角色。授权( HRManager = "HRManager,Finance"),这意味着用户必须处于HRManager或Finance角色中。
我还为此操作定义了基于资源的策略,名为"ResPolicy1“。
我想要实现的是,用户可以在角色HRManager或角色财务或ResPolicy1是满意的,这三者之一。
我可以像这样使用AuthorizeAttribute (Roles=“HRManager,Finance",Policy="ResPolicy1”)
是否可以在相同的控制器操作上同时具有基于策略
浏览 3提问于2020-06-08得票数 1
我们目前正在开发一个具有以下架构的web应用程序。
基于角7的单页应用程序
一个基于.NET核心WebAPI的后端。
我目前正在考虑最佳实践,以涵盖这类应用程序的身份验证和授权要求。
客户端授权
SPA在登录后使用JWT。
路由授权将由路由警卫以角度处理。例如,用户具有reportviewer角色,用户将被允许路由查看与报表相关的组件.
根据JWT的信息,菜单项将是可见的。例如,用户具有reportviewer角色,用户将看到与报表相关的菜单项.
服务器端
JWT将包含一些授权信息。(例如,角色声明)授权属性将用于WebAPI的授权。
我已经开发了一个用户编
浏览 0提问于2019-03-29得票数 2
1回答
我正在编写一个ASP.NET核心1.1Web应用程序。现在我正在尝试设置我的数据库,以便它已经准备好使用,但是我被一些看似基本的东西踩到了……
我对角色相当熟悉,对权利要求也比较熟悉。我知道我可以创建一个ClaimTypes.Role类型的声明。但是,当我准备在身份数据库中添加用户、角色等时,我不清楚这些项目:
我应该只使用RoleManager创建标准角色吗?
我应该只创建一个ClaimTypes.Role声明吗?
我该做这两件事才能让系统正常运转吗?
例如,我希望有角色管理,所有者,员工和平原。
Admin
identity:full
Owner
ide
浏览 0提问于2017-06-20得票数 0
1回答
我是asp.net identity的新手,可能不理解概念。
在我之前的应用程序中,我们已经能够创建新的角色并附加到我们称为“Action”的roles对象。每个动作都意味着具有特定角色的用户所能做的事情。例如,我们创建了新角色Role=Reader和Action=ReadNews。我们在角色阅读器中为用户Mike设置了什么,然后Mike就可以阅读新闻了。
在新的应用程序中,我们决定使用来自Asp.Net Identity 2的新授权模型,并声明并逃避我们的操作。但在asp.net identity中,我们并不容易将声明(模拟我们的行为)附加到角色。也许我们需要以不同的方式思考,以另一种方式使
浏览 1提问于2015-11-16得票数 1
我正在尝试重写ASP.NET 4.6在ASP.NET核心中的一些授权。
我知道授权已经发生了一些变化,我发现很难在ASP.NET核心中实现我非常简单的auth策略。
My requirements:
对服务器的每个请求都应该包括一个名为"key“的标题。根据该键的值,我将能够查询数据库并检查该密钥是代表常规用户还是管理用户。如果请求不包含有效密钥,则请求未被授权。
我将如何在ASP.NET核心中实现这一点?我发现的每一个例子似乎对我的需求来说都太过分了。
在ASP.NET 4.6中,我在控制器上使用了自己的自定义AuthorizeAttributes。
[User]
public IH
浏览 2提问于2017-02-06得票数 11
回答已采纳
1回答
我是asp.net核心的新手,我想知道如何在ASP.Net核心中添加我的自定义角色。例如,卖方,买方等,所以我可以限制他们的一些行动。
目前,我使用的是默认的ASP.Net核心模板和单独的用户身份验证。
浏览 5提问于2017-05-16得票数 0
回答已采纳
1回答
ASP.NET核心中的索赔库方法
、、、、
我们想要建立一个基于权限的应用程序。管理员可以设置一些东西,比如用户可以做什么。
比如说,在Organization-A中,管理员可以将User1设置为CreateTools、EditTools和ViewTools。User2只能做CreateTools和ViewTools。
在Organization-B中,管理员将John设置为John ViewSales (出于某种原因,这里的管理不允许John到ViewTools)
正如您注意到的,这些不是用户的角色,而是每个用户的权限。
此外,页面上的链接(锚标记)将根据其权限显示。比如说,CreateTools,EditTools和ViewTool
浏览 0提问于2016-09-18得票数 2
回答已采纳
9回答
我使用的ASP.NET核心默认网站模板和身份验证选择为“个人用户帐户”。如何创建角色并将其分配给用户,以便使用控制器中的角色来筛选访问?
浏览 6提问于2017-02-26得票数 96
回答已采纳
我有一个ASP.NET核心3.1Web应用程序,它为交互式用户(页面)提供了ASP.NET身份验证和基于角色的授权。
现在,我也在同一个ASP.NET核心3.1应用程序中实现了一些API控制器
[ApiController]
public class ConnectController : ControllerBase {...
我意识到,承载令牌端点不是开箱即用的,所以我成功地使用OpenIddict实现了它,并且它工作得很好。
我想在角色中使用授权属性。
这是行之有效的:
[HttpGet]
[Authorize(Roles = "test01",
Authenti
浏览 5提问于2020-10-14得票数 2
3回答
我正在调查在Azure上托管一个CMS (用php编写的wordpress)的可能性。我已经运行了一个WCF角色,它公开了ASP.NET服务。WordPress需要PHP。我的所有研究都建议我应该创建一个新的CGI Web角色来处理PHP功能。可以在单个ASP.NET实例下运行CGI Web角色和Azure Web角色吗?或者我需要两个实例(一个用于asp.net;另一个用于cgi)?
浏览 2提问于2010-10-04得票数 0
回答已采纳
1回答
无实体框架的角色授权?
、、、、
我喜欢asp.net identity允许您通过在控制器方法的顶部添加注释来灵活地管理基于角色的授权的方式。但是如果你没有使用实体框架呢?如果您使用的是带有ASP.NET核心应用编程接口的ADO.NET,该怎么办?如何管理基于角色的授权?
[Authorize(Roles = Role.Admin)]
[HttpGet]
public IActionResult GetAll()
{
var users = _userService.GetAll();
return Ok(users);
}
也许我们可以通过创建ActionFilter并检查保存用户角色的全局变量的值是什么来模仿
浏览 0提问于2019-12-01得票数 0
我有一个连接到数据库的ASP.NET Core,数据库中有一个包含用户详细信息和角色的表。有两个角色,行政和基本。使用JsonWebToken所需的功能是,具有角色管理的用户应该能够在user表的所有条目上添加、编辑、选择和删除,而当具有角色基本登录的用户只能编辑、查看和删除自己的记录。假设一个ID为1的用户登录,是否有一种只允许
将由用户1和
应该是他们无法访问的吗?
同样的逻辑也需要应用于删除和更新。有什么可以做的吗?
浏览 8提问于2022-08-04得票数 0
我有一个带有种子角色"admin“的asp.net核心2.1标识项目,以及一个种子用户"admin”。根据我的数据库,用户管理员拥有角色管理,但当我这样做时:
@User.IsInRole("admin")
无论是否登录,我都会出错,我试图搜索一个答案,我发现了以下内容
@Roles.IsUserInRole(User.UserName, "admin")
和
@User.HasClaim("role", "admin")
对于第一个角色,“角色”似乎没有被定义,而第二个角色没有工作。我做错了什么?我是不是忘了什么
浏览 0提问于2019-07-12得票数 1
回答已采纳
1回答
我想在MVC5中实现基于角色的授权,我使用asp.net identity 2.0进行用户身份验证。
请建议如何使用authorize属性或任何其他可能的方式来实现此功能。
我还希望在登录后存储用户权限,并且不希望在授权控制器操作时一次又一次地从数据库获取权限。(不想使用会话)。
[![Role Permissions stored in DB][1]][1]
浏览 11提问于2019-07-30得票数 0
1回答
我正在重写角色和.NET核心中的工作人员,以便与Azure一起工作。Web角色非常直接地迁移到AKS中的ASP.NET核心,但是对于工作人员角色,我有点不知所措。
工作人员角色只是监听队列中的照片以进行编码。我已经看到我可以在AKS上运行azure函数运行库,并设置一个总线队列触发器,但是为这个独特的任务设置所有的azure函数运行库似乎有点过分了。
有人能为我指出正确的方向吗?如何使用.NET核心、服务总线队列,如果可能的话,根据队列消息的数量或CPU的使用情况自动缩放?
浏览 1提问于2020-05-12得票数 1
回答已采纳
我正在研究asp.net核心以及新的安全策略和声明功能。在刚刚看过它之后,我看不出它比过去的授权属性逻辑好多少,在过去,硬编码的角色或用户被装饰在控制器,方法等上。对我来说,问题已经从属性中的硬编码转移到了硬编码策略上。
理想情况下,我希望执行基于活动/资源的授权,其中一切都是数据库驱动的。每个活动或资源都将存储在数据库中,并将权限/角色分配给该资源。
在研究这个话题时,我发现了Stefan Wloch写的这篇很棒的文章,它几乎涵盖了我想要做的事情。
因此,我的问题是,对于新的核心功能,它如何防止我们在更改允许访问控制器或控制器中的方法的角色/权限时,必须硬编码和重新编译?我理解索赔是如何被
浏览 1提问于2016-07-06得票数 3
我正在设计一个新的ASP.Net核心2.1 WebAPI,并试图找出实现符合我们需求的授权系统的最佳方法。我们的角色和权限是数据库驱动的,可以混合和匹配基于角色的和单个资源权限。因此,对于给定的端点,默认访问权限可能是基于角色的(例如仅限Admin ),但管理员也可以为各个用户分配对该端点的访问权限(或者相反;并撤销对该角色授予的特定资源的访问权限)。因此,每个端点授权都需要一个DB查询来确定对该资源的有效访问。在我看来,这里需要一个自定义的授权过滤器,但是许多MS文档和其他资源都推送基于策略的身份验证,并建议不要“滚动自己的身份验证”。我看不出基于策略的解决方案是如何工作的,因为它是基于静态
浏览 12提问于2018-08-30得票数 1
2回答
我刚开始使用blazor服务器。我已经实现了基于角色的asp.net核心身份授权。但是我不想硬编码授权属性上的角色。我希望稍后创建角色,并指定它在不接触源代码的情况下可以访问哪个控制器和操作。
如上图所示,我如何在blazor服务器中创建基于动态角色的授权?
浏览 18提问于2021-12-31得票数 1
回答已采纳
我有一个工作的ASP.NET核心网站,其中包括ASP.NET身份个人用户认证,并有用户和角色的ASP.NET身份表。
现在,一些用户希望使用Windows身份验证,而不是用户名/密码。
我可以部署我的站点的副本,只需调整web.config并更改aspNetCore标签属性
forwardWindowsAuthToken="false"
至
forwardWindowsAuthToken="true"
我希望对现有的个人用户帐户站点和Windows身份验证站点使用相同的代码库。
这意味着我将在IIS中有两个网站。我在web.config中部署一个使用forwar
浏览 0提问于2016-12-15得票数 3
我有一个类似于这样的表格的应用程序:
用户(ASP.NET核心标识)
团队
UserTeam (多到多连接表)
用户可以是多个团队的成员,并且可以在团队中扮演不同的角色。例如,用户可能是TeamA的TeamA,但只是TeamB的正常成员。因此,使用静态值定义的简单角色检查和策略将无法工作。
我正在寻找一种方法,根据用户的团队和他们在团队中的角色,授权给他们的Controller操作,这要么作为一个声明添加,要么使用一个单独的RoleTeam表。假设Controller的操作如下:
[HttpGet]
[Authorize(???)]
public IActionResult
浏览 1提问于2018-01-22得票数 10
回答已采纳
2回答
我们有一个asp.net mvc应用程序,我正在将其移植到aspnet core mvc。在旧的解决方案中,身份验证是使用Windows身份验证完成的。
最重要的是,我们有一个“基于活动的身份验证”(如);用户连接到角色,角色连接到权限。用户角色和相应的权限存储在一个单独的应用程序中,该应用程序为我们的应用程序和少数其他系统提供授权服务。
向授权服务api查询用户"Jon Doe“的权限将得到如下响应:
{
Email:"Jon.Doe@acme.com",
FirstName:"Jon",
LastName:"Doe&#
浏览 0提问于2017-09-20得票数 10
我以前使用过ASP.NET标识,现在我想在我的ASP.NET核心+角度应用程序中使用ASP.NET标识核心。
1. ASP.NET标识与ASP.NET Identity 之间有什么区别吗?或者我们可以将ASP.NET Identity Core 集成到ASP.NET Core应用程序中,就像ASP.NET MVC中的ASP.NET标识一样吗?
2.我想知道的另一点是,如果我们使用身份服务器,我们还能使用ASP.NET Identity Core吗?或者没有必要使用它,身份服务器是否足以执行所有内容,例如用户和角色管理(如ASP.NET Identity Core )?
3.,如果只使用角侧而
浏览 0提问于2021-01-14得票数 1
回答已采纳
1回答
我正在尝试使用openID连接和"“来获取登录用户的角色。
我可以点击OnTokenValidated和OnTicketReceived上的断点。在我的控制器中,User.Identity.IsAuthenticated是真的,但是User.IsInRole("admin")是false <--这是我的租户中的一个组,我的帐户是成员。对获取角色信息有什么建议吗?我需要实现OnUserInformationReceived吗?有什么例子吗?
我正在跟踪wiki:
谢谢,彼得
浏览 0提问于2019-07-03得票数 0
回答已采纳
我正在尝试用ASP.NET MVC WebApi和一个角6前端来建立一个项目。该项目应该针对.NET 4.6.1,因为我没有跨平台需求。不过,我还是想使用.NET核心项目模板,因为它有一些我开发和部署过程所需要的图表:
在VS中没有显式的文件管理,也就是说,我不需要在VS中添加/删除文件。该项目结构与光盘上的文件结构相同,并实时更新。
默认情况下IIS用作应用根目录的wwwroot目录。
一个很好的参考资料组织,包括npm包
到目前为止,我已经使用Visual的ASP.NET核心项目模板设置了大部分内容。我做了以下工作:
从VS模板创建项目
将目标从netcorea
浏览 0提问于2018-06-26得票数 0
回答已采纳
我想用ASP.Net MVC6创建一个Intranet应用程序
我正在使用windows身份验证,我想根据数据库表设置不同的规则。
例如,如果我想限制某些用户从某个函数或控制器进行访问
// GET: TestingAuths
[Authorize(Roles ="administrator")]
public IActionResult Index()
{
return View(_context.MyTestingAuth.ToList());
}
如何从我的数据库角色表中检查登录的用户是否具有管理员角色。这里有一个解
浏览 2提问于2016-03-18得票数 0
哪里都找不到答案。问题是:在一个新的ASP.Net核心项目中使用Autofac的附加价值是什么?
:
与ASP.NET经典集成不同的是,ASP.NET核心的设计特别考虑了依赖注入。这意味着,如果您想知道,比如说,如何将服务注入到MVC视图中,这些视图现在由ASP.NET Core控制(并由其记录)--除了设置服务提供者之外,您不需要做任何特定于Autofac的操作。
关于ASP.net核心和Autofac的所有文档似乎都与在升级到ASP.net核心时连接现有的Autofac注入有关。
这意味着Microsoft.Extensions.DependencyInjection接管了Auto
浏览 2提问于2018-02-05得票数 0
回答已采纳
我们当前的API利用基于ASP.Net标识和策略的权限进行授权。它使用用户角色作为声明。这些声明被ClaimsTransformer类拦截,用户权限从包含用户映射(缓存)的数据库中读取。一切都很好。
我遇到的问题是API的范围扩展到包含不同的“项目”,例如,用户可以是一个项目中的Creator,而在另一个项目中可以是一个Consumer。是否有办法使这些需求与.NET核心的基于角色/策略的授权相协调?还是这里对每个请求查询数据库权限的最佳方法?
浏览 1提问于2022-01-26得票数 1
我有一个dotnet core2.2API,其中包含一些控制器和操作方法,需要根据用户声明和正在访问的资源进行授权。基本上,每个用户对每个资源可以有0个或多个“角色”。这一切都是使用ASP.NET身份声明完成的。
因此,我的理解是我需要使用。但这两个示例大部分是相同的,并且每个操作方法都需要显式的命令式if/else逻辑,这是我试图避免的。
我希望能够做一些像这样的事情
[Authorize("Admin")] // or something similar
public async Task<IActionResult> GetSomething(int reso
浏览 0提问于2019-06-28得票数 13
2回答
我目前正在开发一个ASP.NET MVC4应用程序,它有三个角色:管理、管理和编辑。编辑器可以在系统中浏览文章,但编辑器只能读取、更新或删除自己的文章。我看到我可以通过添加以下内容来控制对控制器和操作的访问:
[Authorize(Roles="editor")]
但它只局限于角色,而不是信息。
如果编辑器A创建了文章1,那么只有编辑器A可以访问该文章。没有其他角色可以访问控制器或信息。根据角色和背景限制访问的最佳做法是什么?
浏览 2提问于2013-09-24得票数 1
回答已采纳
2回答
我有一系列网页,对这些页面的授权是在自定义数据库表中定义的。例如,我有一个名为“超级用户”的角色,允许在某些网页上访问该角色。我有用户被分配到这个角色。
我不明白如何在控制器上放置授权属性,传入页面名(视图),然后从我的数据库中读取某种类型的自定义处理程序,以查看用户是否在具有权限的组中。我在这里读到了基于策略的授权:,并试图根据我的情况来理解它。
对于基于策略的授权,我是否走上了正确的轨道?还是在允许用户访问页面之前,是否有其他方式对权限进行数据库检查?
浏览 1提问于2018-12-13得票数 3
1回答
我希望在WebAPI2.2中使用SSO,用于多个应用程序,包括移动和asp.net mvc 5。
我有通过web创建身份验证令牌的基本想法,但我有几个问题:
1-将身份验证令牌与用户名一起存储在cookie中是否安全?
2-我能否将身份验证与mvc中的身份框架联系起来,并能够使用角色?
3-如何验证角色?我是否必须为每个被标记为授权的带有特定角色的控制器向api发送请求,以确保它是用户的正确角色?
4-如果我从web应用程序登录并获得身份验证令牌,然后尝试从移动登录,它会发送相同的令牌吗?
浏览 4提问于2016-05-22得票数 7
回答已采纳
1回答
如何跳过特定操作方法的授权?
、、、、
下面的代码检查控制器中所有动作方法的授权。我正在使用Asp.NET Core2.2
授权属性
public class AuthorizeRolesAttribute : AuthorizeAttribute
{
public AuthorizeRolesAttribute(params string[] roles) : base()
{
Roles = string.Join(",", roles);
}
}
控制器
[AuthorizeRoles(Roles.Worker,Roles.Contractor)]
public clas
浏览 5提问于2021-08-06得票数 1
我正在努力理解是否有一种使用spring安全性的方法可以帮助我的用例。基本上,我希望在spring引导中对每个REST调用调用spring安全性,而不是在应用程序启动期间调用一次,并查找用户的角色并根据用户角色进一步限制端点。
我有三个不同的rest控制器,即/admin1/*、/admin2/*、/admin3/*。
我已经尝试过手动限制端点,如下所示。
http.authorizeRequests()
.antMatchers("/admin1/**").permitAll()
.and()
.authorizeRequests()
浏览 2提问于2020-10-07得票数 2
回答已采纳
2回答
我正在用ASP.NET MVC4构建一个应用程序,作为学习练习。我正在尝试理解身份验证和授权。这似乎很好,基于角色的授权似乎可以将某些控制器/操作限制到属于给定角色的用户。
我正在努力解决的问题是如何将它应用于属于单个用户的数据。以论坛为例,如何实现功能,用户只能编辑或删除他们创建的帖子,但可以查看/添加到其他用户的帖子中。这必须在代码中完成,方法是在允许更新之前,根据当前用户检查与post关联的用户,如果不匹配,则返回未经授权的消息。
是否有更优雅的解决方案可以应用,而不是将这种逻辑应用于多个控制器/操作?
外面有很多信息我只是想缩小搜索范围。有人能推荐一篇关于这个的好教程/文章吗?我一直在
浏览 5提问于2014-08-25得票数 0
回答已采纳
我正在开发一个使用标识2对用户进行身份验证和授权的Asp.net Mvc应用程序,但是我似乎需要比基于角色的功能更多的功能,所以我想改变我的方法,使用基于声明的方法来创建应用程序。
更新:考虑设置特定用户访问特定操作的访问权限。
但问题是没有什么需要学习的,我的意思是我知道什么是声明,但我不知道如何实现它,创建用户和其他东西。
我想知道为什么没有什么可以学习如何实现基于声明的!所以我才问这个问题。
我需要像一个准备的项目或一步一步的教程。有什么东西可以教你如何处理索赔吗?
浏览 1提问于2017-05-02得票数 4
1.我想做的事
我是C#新手,现在正尝试将"ASP.NET web应用程序“部署到IIS。我试着遵循这个网站中介绍的步骤,但是当我测试IIS中的“Browse”时,出现了一些目录列表而不是视图(Index.cshtml)。
2.当前问题
它当前显示的是某个目录列表,而不是视图(Index.cshtml)。
3.我所做的
Core 1.创建ASP.NET核心应用程序
-After添加了一个项目,我添加了一个控制器(HomeController)和一个视图(Index.cshtml)
我能够使用IIS和URL "“访问的
STEP2.Publish 2.发布
浏览 2提问于2021-01-25得票数 0
回答已采纳
1回答
我正在为访问控制系统设计一个DB模型,它部分基于角色,但确实需要一些访问列表功能和关系访问。
我正在为学校构建一个web应用程序(如果重要的话使用PHP和MVC架构)来管理学生、教师、教职员工和管理人员之间的互动,比如教师奖励一名学生或一名注册或开除学生的工作人员。我的主要问题是: 1-为每个用户提供可选的额外权限,而不是他们已经从角色/角色继承的权限。(=>Access列表) 2-提供了一种简单的方法,使某些学生与特定的学生每个学期相匹配,这意味着一名教师应该能够给上课的学生评分,而不是其他班级的其他学生,而且这个班的变化太频繁(每次变化之间的两个月)。
我正在考虑实现一个基于角色的标
浏览 0提问于2019-07-28得票数 3
回答已采纳
我有一个完整的ASP.NET Core应用程序和一个已经添加了用户和角色的数据库。用户注册是外部处理的,我只需要为已经在数据库中的用户构建的ASP.NET Core应用程序提供身份验证和授权。
最好的方法是什么?
我尝试过设置标识,并通过实体框架将其连接到用户/角色数据库,但这似乎有些过火,而且设置非常复杂。对于最简单的方法,有什么建议可以做到吗?
我看过,但其中很多似乎不适用于ASP.NET Core .
谢谢!
浏览 1提问于2020-07-15得票数 1
回答已采纳
我使用asp.net核心web api生成包含用户信息和角色的令牌,并在客户端获取它,然后将其放入请求头的x-auth-token中。如何在asp.net应用编程接口控制器和操作中授权用户(具有其角色)?我在startup.cs中的设置如下所示,但是我无法在我的操作中捕获请求!
var securityKey = Environment.GetEnvironmentVariable("SECURITY_KEY");
var symmetricSecurityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(securit
浏览 2提问于2019-07-08得票数 0
在我的核心API中,我正在考虑从基于角色的转换到ASP.NET。
我目前正在使用JWT来处理授权,将当前用户的角色作为ClaimTypes.Role添加到访问令牌中。我的猜测是,默认的[Authorize]属性使用ClaimsPrincipal.IsInRole()方法对请求进行授权,而后者则专门查看索赔类型等于ClaimTypes.Role的声明。
现在,如果切换到基于策略的授权,则需要在访问令牌中使用权限替换角色。问题是,我是否可以继续将这些权限作为ClaimTypes.Role添加到令牌中,还是应该使用不同的ClaimTypes?
浏览 2提问于2022-09-05得票数 0
回答已采纳
我的KMS键上有一个资源策略,允许访问根帐户和Jenkins (角色A)中使用的一些额外的IAM角色。
我能够为用户(用户B)更新IAM策略,该策略允许访问KMS密钥ARN和KMS:* action。这使IAM用户能够访问所需操作的密钥。
从我正在阅读的文档中,我假设需要更新KMS关键资源策略以允许访问密钥,但似乎更新IAM用户的策略允许访问。
我如何保护我的KMS密钥,使KMS密钥资源策略成为允许哪些用户/角色访问密钥的真相来源?是否需要对KMS密钥策略设置显式拒绝,并为允许访问的用户/角色设置排除条件?
我现在观察的是KMS关键策略和IAM用户策略的预期行为吗?这是由于IAM用户的策略对密
浏览 6提问于2022-09-08得票数 1
回答已采纳
在Sail.js中创建用户定义的角色并在控制器上动态应用ACL的最佳方法是什么?
浏览 0提问于2018-11-08得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
