Razor页面授权与外部cookie陷入循环
是一个涉及身份验证和授权的问题。在Razor页面中,我们可以使用ASP.NET Core的授权中间件来实现对页面或资源的访问控制。
当用户访问需要授权的Razor页面时,授权中间件会检查用户的身份验证状态。如果用户未经身份验证,授权中间件将重定向用户到登录页面。用户在登录页面提供凭据后,身份验证中间件会验证凭据并创建一个身份验证Cookie。然后,用户将被重定向回原始请求的Razor页面。
然而,当涉及到外部cookie时,可能会出现循环重定向的问题。这种情况下,用户在登录页面提供凭据后,身份验证中间件会创建一个身份验证Cookie并将其发送到浏览器。但是,由于某些原因,浏览器可能会将该Cookie视为外部Cookie,并在每次请求时都发送该Cookie。这导致授权中间件在每次请求时都会检查用户的身份验证状态,从而陷入循环重定向。
为了解决这个问题,我们可以在授权中间件中配置一个例外规则,以排除外部Cookie的检查。具体来说,我们可以使用AddAuthentication方法的AddCookie扩展方法来配置身份验证中间件,并在其中设置CookieAuthenticationOptions的CookieName属性来指定要排除的外部Cookie的名称。
以下是一个示例代码片段,展示了如何配置身份验证中间件以解决Razor页面授权与外部cookie陷入循环的问题:
services.AddAuthentication(options =>
{
options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
})
.AddCookie(options =>
{
options.Cookie.Name = "MyAuthCookie";
options.Cookie.SameSite = SameSiteMode.None;
options.Events.OnRedirectToLogin = context =>
{
if (context.Request.Path.StartsWithSegments("/api"))
{
context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
}
else
{
context.Response.Redirect(context.RedirectUri);
}
return Task.CompletedTask;
};
});在上述示例中,我们将身份验证中间件配置为使用Cookie身份验证,并将Cookie的名称设置为"MyAuthCookie"。此外,我们还设置了SameSite属性为None,以确保Cookie可以在跨站点请求中发送。
需要注意的是,上述代码只是解决循环重定向问题的一种方式,具体的解决方法可能因应用程序的需求而有所不同。此外,还可以使用其他技术和方法来处理身份验证和授权,例如使用JWT令牌、OAuth等。
对于腾讯云相关产品和产品介绍链接地址,由于要求不能提及具体的云计算品牌商,我无法提供相关链接。但是,腾讯云提供了一系列云计算服务,包括云服务器、云数据库、云存储等,您可以访问腾讯云官方网站获取更多信息。
相关·内容
1回答
我有一个与Auth0集成的ASP.NET核心应用程序。认证之后,我想要重定向到一个页面,以收集信息来创建一个本地帐户,就像默认的Facebook和Google扩展一样。我设置了一个主cookie、一个外部cookie和我的Auth0点。然后,它回调到页面(/Account/ExternalLogin),在那里,我在完成需要执行的任何操作后登录到主cookie,并重定向到需要授权的页面(/Profile。这
浏览 39提问于2019-06-29得票数 1
后端应用程序包括:
只要我试图从Identity/ Pages /Account/*区域(如屏幕快照所示)访问脚手架页面(如Login.cshtml或Register.cshtml ),身份cookie就会被正确地使用,并且我能够看到用户声明并使用授权属性但是在页面/管理路径中
浏览 2提问于2021-11-25得票数 0
我有一个简单的登录系统。每当用户登录时,我希望他们看到特定的HTML div。只有在你登录的情况下。对于尚未登录的用户,我希望隐藏此元素。我读过一些关于“角色”的东西,但我不知道在这种情况下这是不是一个正确的概念。有没有人能给我一些建议,告诉我如何解决这个问题。
浏览 18提问于2020-05-16得票数 0
当blazor (服务器端)标识页是脚手架时,我们得到的是cshtml页面,而不是blazor页面组件。我很好奇为什么它是cshtml而不是剃须刀页面组件,如果这是一个好主意,将其重写为blazor页面组件(例如,对UI进行一些改进)。当然,我最关心的是安全问题。也许这就是为什么这样产生的原因。
浏览 3提问于2021-09-24得票数 2
回答已采纳
在iFrame中,我们正在加载一个外部应用程序,该应用程序也被配置为使用ADFS。如果我们运行Fiddler来查看进行了哪些调用,我们会看到“正常”的adfs流。当adfs返回重定向到外部应用程序的url时,提供的FedAuth cookies不包括在对外部应用程序的Post请求中。由于外部应
浏览 2提问于2013-07-18得票数 0
对于Razor页面的使用,我一直在努力理解Pages类的生命周期。我正在考虑如何和何时处理我传递给业务逻辑的公共数据,比如运行请求的userId。很多时候,我需要保存这一信息与行动的结果。那么,在哪里可以一遍又一遍地处理一些事情,比如获取持久化模型中的用户详细信息,而不是从HTTPContext获取页面模型用户的上下文?我应该提到,我正在使用带有cookie支持的对webservice的授权标记。
浏览 1提问于2019-10-01得票数 2
回答已采纳
但是,由于我的页面上的每个请求都在授权之后(作为应用程序控制器中的:before_action ),因此在没有授权的情况下也不会提供设置授权cookie的.js文件,并且我的服务会陷入循环。
浏览 0提问于2018-06-18得票数 0
使用.NET核心3.1框架,我尝试使用以下设置配置web平台:
OIDC配置与标识服务器,以增加认证和授权到角SPA。(仅用于标识附带的页面),cookie似乎不再
浏览 9提问于2020-04-26得票数 2
回答已采纳
我想知道[Authorize]属性和AuthorizePage(string)方法在ASP.NET内核中是否有什么不同?项目使用ASP.NET Core3.1。使用这种方法有什么好处或缺点吗?使用 [Authorize] 属性namespace MyApp.Account.Manage [Authorize] {在 Startup.ConfigureServices中使用 AuthorizePage(stri
浏览 2提问于2020-08-26得票数 0
回答已采纳
在ASP.NET 5.0中,我想实现一个简单的cookie authentication,并将用户数据安全地存储在数据库中。cookie身份验证工作得很好,这样我就可以在前端实现SPA中所有与用户相关的功能,这样就不会在Angular应用程序之外进行导航。(这样就不需要重定向到外部Razor页面来实现例如登录功能。)问题是,所有的示例都只显示了Razor pages和OIDC的实现。 是否有可能只使用ASP.NET一致性来存储用户数据,而不使用Razor</em
浏览 22提问于2021-02-12得票数 0
回答已采纳
我想构建一个混合应用程序,在那里我可以使用Razor服务器呈现的页面。我希望能像这样装饰一个Razor页面模型:public class TestModel : PageModel public void OnGet()}
如果用户调用~/Test,服务器应该检查用户当前是否登录,如果没有,则重定向到登录页面。请有人告诉我,我需要如何配置startup.cs,以便我可以同时为SAP端和剃须刀页面使用IdentityServe
浏览 0提问于2020-07-12得票数 0
我已经在一个给定的PHP端嵌入了一个新开发的Razor页面(核心2.2)。
此Razor Web App使用标识并托管在MS Azure中。当调用myWebApp.azurewebsites.net时,Razor Web App的工作方式与预期一样--使用CookiePolicy和Identity进行登录、注册等。使用标签将此Razor Web App嵌入PHP web端后,嵌入的Razor Web App的Cookie策略的Cookie</e
浏览 1提问于2019-07-21得票数 0
在我的登录和注册操作方法中,我已经将永久登录设置为true,以及在我的cookie上设置了滑动过期。Fiddler指出,当用户从DocuS传回时,.AspNet.ApplicationCookie的值与他们离开前不同。如果您有任何问题或需要澄清或代码示例,我将非常乐意地提供这个线程。
浏览 2提问于2015-03-06得票数 0
回答已采纳
在VS2022中,我启动了一个新的Razor页面项目,其中选择了“单独帐户”作为自授权类型。我发现没有任何与身份相关的代码可供定制,因为它们是使用Razor预先构建的。我想定制这些页面,所以我按照下面建议的方法生成了这些页面。
令人惊讶的是,我发现当生成的页面被排除在外时,就会自动使用预构建的Razor
浏览 7提问于2022-01-18得票数 1
回答已采纳
描述
我有一个授权服务器和一个客户端服务器。授权服务器运行良好,我使用postman对其进行了测试,以获得accessToken和授权代码。但是客户端服务器不工作。在authorization_code模式下,客户端登录,然后成功地从授权服务器获取授权码,下一步,浏览器应该重定向到redirect_uri,但它没有,它重定向到客户端的登录页面。
浏览 33提问于2017-03-13得票数 0
如果用户转到www.google.com并尝试返回到www.google.com,则会话结束,它们被重定向到登录页面。
扩展AuthorizeAttribute会是个好主意吗?
浏览 5提问于2015-02-16得票数 1
回答已采纳
我们正在企业内部向员工部署iOS应用程序,并控制谁可以通过SiteMinder访问下载网站,air将根据AD组成员身份对用户进行身份验证和授权。此身份验证过程会在设备上创建一个cookie,指示用户已通过身份验证(可能也已授权),这样他们就不会一次又一次地收到针对每个请求的提示。问题是,用户可以下载并安装应用程序一次,之后就再也不能安装应用程序了,因为他们陷入了凭据提示循环。此循环是由于Siteminder身份验证cookie已过期且未被设备上的用户代理删除或更新的事实
浏览 2提问于2012-02-17得票数 1
2回答
我正在开发一个带有ASP.NET Core3.0和Razor的web应用程序。我想添加一个功能,允许用户按页面名进行搜索--假设用户搜索“密码”,结果是“更改密码”,这是Razor。我想页面模型看起来应该是:public class这将向我展示应用程序中的所有页面。
我不确定如何为每个页面获取实
浏览 13提问于2019-10-03得票数 0
回答已采纳
我正在使用简单cookie测试WebApp身份验证。该应用程序有两个领域:公共和内部(见本帖子末尾的区域结构)。用户在访问“内部”区域下的所有页面时必须登录。程序描述builder.Services.AddRazorPages(options => options.C
浏览 3提问于2022-03-24得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
