ASP.NET核心:自定义身份验证和授权
在ASP.NET Core中,你可以通过自定义身份验证和授权来实现对应用程序的访问控制和权限管理。以下是一些步骤来实现自定义身份验证和授权:
- 创建自定义身份验证方案:你可以创建一个自定义的身份验证方案,以便在应用程序中验证用户的身份。你可以实现自己的身份验证逻辑,例如从数据库中验证用户名和密码,或者使用外部身份提供者(如OAuth)进行验证。你可以使用
AddAuthentication方法来配置自定义身份验证方案。 - 实施自定义授权策略:一旦用户通过身份验证,你可以定义自己的授权策略来决定用户是否有权访问特定的资源或执行特定的操作。你可以使用
AddAuthorization方法来配置自定义授权策略。在授权策略中,你可以检查用户的角色、声明或其他自定义条件,并根据这些条件决定是否授权用户。 - 应用授权策略:在你的应用程序中,你可以使用
[Authorize]属性或Authorize中间件来应用授权策略。这将确保只有经过授权的用户可以访问受保护的资源或执行受保护的操作。你可以在控制器或操作方法级别应用授权策略,也可以在视图中使用@if(User.Identity.IsAuthenticated)等条件来进行条件性的授权。 - 自定义授权处理程序:如果你需要更复杂的授权逻辑,你可以实现自定义的授权处理程序。授权处理程序是一个实现了
IAuthorizationHandler接口的类,它可以根据自定义的逻辑来决定是否授权用户。你可以在授权处理程序中检查用户的角色、声明或其他条件,并根据这些条件决定是否授权用户。
通过自定义身份验证和授权,你可以根据你的应用程序需求来实现灵活的访问控制和权限管理。ASP.NET Core提供了强大的身份验证和授权机制,使你能够轻松地实现自定义的身份验证和授权逻辑。你可以根据官方文档和示例来深入了解和实践这些概念。
相关·内容
1回答
托管在Amazon上的微服务应用程序中的用户身份验证
amazon-web-services、authentication、architecture、microservices、amazon-cognito
我正在构建基于微服务架构的web应用程序。目前,我正在考虑几种用户身份验证流的方法。我预测了以下示例用户角色:
admin -能够创建内容、上传文件等(管理帐户只能由另一个管理员创建)
未经授权的用户-可以查看内容
授权用户-可以评论内容
以下是到目前为止我是如何考虑身份验证流的:
身份验证服务-具有用户凭据和权限的数据库访问权限
api网关-从用户检索请求,检查用户是否登录(即用auth服务验证OAuth2访问令牌),并根据用户请求(使用一些基本用户信息附加JWT令牌)将流传输到其他服务。
另一个服务--只接受来自api网关的请求,并信任来自JWT令牌的用户数
浏览 3提问于2017-03-27得票数 4
1回答
在微服务架构中组织授权的最佳实践?
authentication、architecture、authorization、microservices
例如,我有3个服务:
身份验证
卖方
买家
他们每个人都有自己的数据库,模型,服务.等
身份验证服务了解用户、用户组、角色、权限和创建令牌.
我应该把买卖双方的实体放在哪里?关于认证服务,还是关于买卖双方的服务?
卖方/买方服务应如何相互作用以创建新的卖方/买方实体?
卖方/买方服务应如何检查权限?
卖方和买方实体有一些共同的字段:名称、密码、电子邮件.,但每个实体都有自己的附加字段。
买卖双方相互作用。
浏览 4提问于2016-02-13得票数 19
回答已采纳
5回答
Asp.net MVC授权属性,重定向到自定义“无权限”页面。
asp.net-mvc、asp.net-mvc-2
当经过身份验证的用户没有权限时,Asp.net MVC2会重定向到使用response 302登录页面。
我想分成两个行动
如果用户未通过身份验证,则按它所做的操作,重定向到登录页。如果用户经过身份验证,但没有所需的权限,则返回适当的http状态代码,并显示不显示权限的页面。
有什么办法吗?还是我在授权和表单认证方面做错了什么?我唯一能想到的方法是编写自定义的授权属性,这是我想要避免的。
浏览 2提问于2010-12-16得票数 34
1回答
在javascript前端还是在MVC后端进行身份验证?
asp.net-mvc、.net-core、single-page-application、identityserver4
我试图在以下架构中配置身份验证:
一个REST,用asp.net内核完成
一个MVC客户机,其中的“视图”实际上是一个单一的页面应用程序(vue.js)。作为参考,我正在使用以下模板:
我想使用identity+identity服务器。
据我理解,我的api是一个安全的资源:为了访问它,用户必须登录身份服务器,并获得一个令牌。
我的MVC应用程序是身份服务器的“客户”之一。现在,我感到困惑的是:
我是否在mvc应用程序上实现身份验证,从而保护主索引控制器?然后,为了“加载”spa,用户必须在身份服务器上进行身份验证,获取令牌,然后才能加载?
还是我忽略了从mvc方面实现任何身份
浏览 0提问于2019-07-26得票数 0
1回答
ASP.NET MVC 4中的身份验证和角色授权
c#、asp.net、asp.net-mvc、authentication、asp.net-mvc-4
在使用ASP.NET web开发.NET Web应用程序之前,我对ASP.NET MVC 4框架非常熟悉。
在我的新项目(我正在更新一个现有的Web表单项目)中,我需要实现对页面和功能的表单认证和基于角色的授权。
在一些文章和StackOverflow解答之后,我尝试使用SimpleMembershipProvider,但我发现在配置它和与现有DB集成时遇到了一些困难。特别是不能使用我现有的用户帐户表..。
我正在使用Server 2005,现在我正在从Linq升级到- SQL到EntityFramework。
您能建议我在 MVC4中实现身份验证和角色授权的最佳方法吗?
浏览 1提问于2013-06-05得票数 0
回答已采纳
4回答
如何在微服务体系结构中实现基于角色的安全
spring-boot、spring-security、microservices、spring-cloud、netflix-zuul
我有一个spring-boot应用程序,它有4个微服务、eureka服务器和一个集中的API网关。
所有外部流量都通过我的API网关到达我的微服务。
我的API网关(Zuul)正在验证和验证JWT token。
JWT令牌是在用户登录后由我的一个微服务(users微服务)生成的,该令牌包含用户Id及其角色/权限。
现在,我想在微服务而不是网关中的方法上实现基于角色的安全性。
我尝试过使用@PreAuthorize,但它不能在网关之外工作(显然,为了让它工作,我必须在我的微服务的SecurityContextHolder中设置一个Spring Security身份验证对象,并用权限填充它)。
那
浏览 3提问于2020-01-17得票数 7
1回答
在微服务体系结构中,如何保证服务间的安全
microservices
在Microservice体系结构中,公共客户端和机密客户端按照API网关模式存在,公共客户端通过API网关从浏览器连接到后端。
API网关进行身份验证/授权并到达后端
取决于客户端使用OAUTH2补助金类型。
问题是,如果有多个微型服务A,B,C
A是微服务-从浏览器应用程序角或SPA调用,A为了某种目的必须调用B,B微服务不直接暴露于外部世界,它是内部的。
A作为服务通过HTTP到达B
除了相互TLS之外,应采取什么安全措施
是否所有的微服务内部都要在API网关中注册,而Microservie必须仅通过API网关才能到达B,如果不是,要使用什么样的认证和授权来进行实践?
大多数地方都是AU
浏览 0提问于2020-12-09得票数 0
2回答
可以从AWS无服务器API中的其他lambda函数调用lambda函数吗?
asp.net-core、aws-lambda、aws-serverless
我正在使用AWS模板和ASP.Net Core创建一个无服务器API。我想知道是否可以从多个lambda函数调用公共lamnda函数?
我有两个用于用户身份验证的API。
/用户/身份验证
/管理/认证
现在,当用户调用这些API端点时,我想调用一个常见的lambda函数,如下所示:
public AuthResponse Authenticate(AuthInfo info, int role);
我得到一个用户角色,它基于哪个API端点被调用。例如,如果调用/user/authetication,则role=1否则为role=0。然后,我想通过AuthInfo + Role
浏览 4提问于2020-09-21得票数 1
1回答
ASP.NET核心3.1 web应用程序使用不同身份验证类型对多个区域进行授权
asp.net-core、authentication、asp.net-core-mvc、authorization
我有一个ASP.NET核心3.1应用程序,它遵循域驱动的架构,它有两个区域,一个用于管理,另一个用于客户(应用程序用户)。 我想分别为每个区域启用身份验证和授权。例如,对客户区域使用Identity 4,对管理员区域使用基于cookie的身份验证。但它应该使用单个数据库来完成,并且基于角色的身份验证不应该用于单独的区域。 最好的方法是什么?例如“多重认证方案”或任何其它方法。
浏览 14提问于2021-02-10得票数 0
回答已采纳
2回答
如何在ASP.NET MVC中进行“选择退出”身份验证
asp.net、asp.net-mvc、forms-authentication、authorization
可能重复:
在ASP.NET MVC中,添加上述操作方法中的授权属性,以指定用户必须通过身份验证(并在适当的情况下以指定的角色身份验证)才能使用该方法。
这有点像‘选择’认证-我必须记住装饰我想要保护的每一种方法,这是容易出错的。
除了我的白名单控制器或操作之外,我如何指定所有东西都需要身份验证?
浏览 1提问于2011-08-01得票数 0
1回答
会员,wcf认证服务,移动应用程序(iOS,Android)
ios、wcf、membership
我正在做一个项目,它有一个asp.net网络应用程序和移动应用程序(iOS,Android)。我需要想出一种从不同客户端提供身份验证、授权和成员注册的方法。我计划使用ASP.NET成员资格提供程序,并设置一个WCF身份验证服务来使用该成员资格提供程序。
我们的想法是,我的web应用程序和移动应用程序客户端将能够使用该服务进行身份验证。
但是,这里有一些问题,我希望得到任何指导: 1) asp.net的成员资格提供者生成一个表单身份验证cookie,它将不能用于移动应用程序。我读到的一些东西建议在响应中返回一个身份验证令牌。( 2) WCF认证服务是只提供认证,还是也可用于成员注册?基本上,需要
浏览 2提问于2012-06-03得票数 3
1回答
Azure中的用户身份
azure、authentication、web-applications
我开始关注Microsoft,希望在那里部署未来的web应用程序。大多数应用程序都有“用户身份”的概念,所以使用云的好处之一就是授权认证。
第一步是创建Visual的开箱即用的MVC应用程序(没有身份验证)并部署它,这非常简单。下一步是在这个应用程序上进行分层认证。我完全是通过Azure门户完成的,没有更改任何代码。现在只使用Azure广告。再来一次,很好。第三步是编写另一台试验台。我使用了,ASP.NET Core,并在控制器中添加了以下代码:
string User = HttpContext.User.Identity.Name;
if (String.IsNullOrEmpty(Use
浏览 5提问于2022-04-25得票数 1
回答已采纳
2回答
角色提供者/成员资格?如何在asp.net web中使用?
asp.net-web-api、asp.net-membership、simplemembership
我正在构建一个asp.net mvc web应用程序,并且不确定如何做成员的事情。
在我目前的项目中,我有
我自己的Users Table和Role Table,我没有使用asp.net成员资格,因为它带来太多的包袱,不符合我想要设计我的数据库的方式(当然,我可以这样做,但这似乎是很多工作)
user可以有多个角色,role可以有多个用户。
我使用EF来完成对数据库的几乎所有调用。
在过去的项目中,我创建了自己的Authorize Attribute,对数据库进行了自己的调用,并检查了用户在控制器/操作方法上是否扮演了正确的角色。
由于没有提供任何成员资格,我失去了一些内置的函数,比如User
浏览 1提问于2013-05-21得票数 8
回答已采纳
1回答
如何在AWS网关API中控制用户对路由的访问
aws-api-gateway、amazon-cognito
我正在构建一个应用程序,通过AWS网关API HTTP访问AWS数据库中的数据。
用户必须在AWS网关上进行身份验证(我认为AWS认知可以完成这项工作),并且必须访问一些API路由。
如何让用户访问相应的路由?
示例:
User A gains access to https://aws-endpoint/A/*
User B gains access to https://aws-endpoint/B/*
是否有一种简单的方法可以使用一些aws命令来创建用户A,让用户访问路由https://aws-endpoint/A/*?
浏览 0提问于2021-05-06得票数 0
1回答
基于JWT的K8s AWS网关
amazon-web-services、aws-api-gateway、amazon-cognito
我有AWS K8s集群(EKS),我希望使用API网关来保护端点,并将授权逻辑与微服务分开。我需要有两个身份验证模式:
发送登录/密码并获取JWT
OAuth2
API网关与K8s集群通过进行集成。看上去很好。那我需要验证一下。AWS提供认知服务,作为管理用户的服务,以及拥有自己的身份提供者的可能性。我知道我们可以将API网关授权器与认知技术集成在一起,但我无法理解以下内容:
例如,如何将认知与已经存在的LDAP集成起来?(SAML?)
我可以使用我自己已经创建的OAuth2身份验证端点吗?
如何使用登录/密码进行身份验证并使用API gateway+Cognito
浏览 2提问于2020-09-29得票数 2
回答已采纳
5回答
角色与基于身份的认证?有什么关系?
authentication、access-control、fips
基于角色的认证和基于身份的认证之间有什么区别?如果一个系统只使用密码机制来验证操作符(对于管理员和用户来说是不同的PIN ),那么就说它使用了“标识”或“基于角色的”身份验证?
系统提示操作员输入密码(不询问用户名),然后根据输入的密码(用户或管理员)为这两个角色提供不同的服务,如果密码不匹配,则不提供服务。
这个机制是否真的可以被认为是身份认证,因为身份认证只能基于对PIN的知识进行认证?
此外,FIPS140安全标准在第2级使用“基于角色的身份验证”,对于第3级使用“基于身份的身份验证”(http://en.wikipedia.org/wiki/FIPS_140)。在FIPS140标准中,
浏览 0提问于2013-06-21得票数 6
1回答
Azure AD身份验证而不重定向用户
azure-active-directory、adal、azure-authentication
我一直在查看中的许多示例,似乎找不到一个与我的场景相匹配的示例。
我发现的示例中有一个登录按钮,一旦单击该按钮,将用户重定向到这个URL https://login.microsoftonline.com,允许用户进行身份验证。
成功身份验证后,用户将被重定向回初始网站。
虽然我的场景有点类似,但唯一的区别是,我不希望将用户重定向到这个https://login.microsoftonline.com页面。
如果可能的话,我希望用户在我的文本框中输入他的用户名/密码,并将它们发送给ADAL,以便获得一个令牌。
据我所知,由于我在ASP.NET MVC应用程序中,Azure期望的是一个clien
浏览 1提问于2017-03-13得票数 3
回答已采纳
5回答
使用化学文摘社还是OAuth?
security、oauth、single-sign-on、cas
我想知道是否应该使用协议或 +某个身份验证提供程序来进行单点登录。
示例场景:
用户试图访问受保护的资源,但未进行身份验证。
应用程序将用户重定向到SSO服务器。
如果经过身份验证,用户将从SSO服务器获得一个令牌。
SSO重定向到原始应用程序。
原始应用程序针对SSO服务器检查令牌。
如果令牌正常,则允许访问,并且应用程序知道用户id。
用户执行注销操作,并同时从所有连接的应用程序(单点退出)中注销。
据我所知,这正是CAS发明的目的。CAS客户端必须实现CAS协议才能使用身份验证服务。现在我想在客户端(消费者)站点上使用CAS或OAuth。OAuth是中
浏览 7提问于2010-01-09得票数 195
回答已采纳
1回答
每个租户使用认知池进行身份验证
amazon-web-services、authentication、aws-api-gateway、amazon-cognito、multi-tenant
我正在看一个AWS reInvent视频:,它建议每个租户使用科尼图池。这就是身份验证的样子,并将Auth管理器引入到Auth中,以对抗Cognito,并获得基于OpenIdConnect的JWT令牌。
我在这里读到另一篇博文:
并建议使用附加在API网关上的自定义授权器。
我是否正确地认识到,我们应该在两个地方进行认证->
来自web应用程序使用AtAt API网关使用自定义授权器
浏览 2提问于2020-12-31得票数 0
1回答
哪些安全控制应该在API网关中,哪些在What服务中?
web-service、api、api-gateway
如今,new服务被大量使用,一种“新”类型的产品正在大行其道: API网关。该解决方案被发布到Internet上,接收来自外部各方和移动应用程序对the服务的请求,做一些安全性(身份验证、授权、一些产品进行输入验证、XML和JSON安全性等)。然后将请求传递给内部webservice。
在API网关中应该执行哪些安全控制,在web服务中应该执行哪些安全控制?
例如,
应在何处对投入进行验证?
认证?
授权?业务逻辑安全?
此外,今天有人问我,我们是否应该在DMZ和内部总线中设置web应用程序之间的API网关……我回答说,在这个场景中,所有需要的安全性都应该由web应用程序来执行,所以API不是
浏览 0提问于2016-09-03得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
