.net core 认证与授权(三)
前言
在写三上是在一的基础上写的,所以有没有看过二是没得关系的,在一中介绍了认证与授权,但是没有去介绍拿到证书后怎样去验证授权。
概念性东西:在这套机制中,把这个权限认证呢,称作为policy。这个policy是怎么样的过程呢?
就像我前面说的,证书也认证了,policy做的是检查你的证书中是否符合我心中的标准。
比如说,我有一个接口实行的是驾驶证检查。结果你只有一张学生证,你不能那一张学生证当驾驶证去开车吧,肯定就不让你访问啊。
也许还有点迷糊,请看正文。正文皆为个人理解,如有错误,请指正。
正文
请看下面的:
services.AddAuthorization(config=> {
var defaultAuthBuilder = new AuthorizationPolicyBuilder();
var defaultPolicy = defaultAuthBuilder.RequireAuthenticatedUser().Build();
config.DefaultPolicy = defaultPolicy;
});
这时候就是在配置授权了。
defaultAuthBuilder.RequireAuthenticatedUser().Build() 中,RequireAuthenticatedUser去要求用户必须经过认证的,也就是不允许匿名用户,这个很好理解。
设置默认的策略认证就是这个了。
这时候我访问:
https://localhost:44350/Home/Secret
是正常的,因为我本来就是认证过的。
然后我改了一下:
services.AddAuthorization(config=> {
var defaultAuthBuilder = new AuthorizationPolicyBuilder();
var defaultPolicy = defaultAuthBuilder.RequireAuthenticatedUser().RequireClaim(ClaimTypes.Country).Build();
config.DefaultPolicy = defaultPolicy;
});
和上面不同的,我加了RequireClaim(ClaimTypes.Country),我要求起码有一个证书你要有国家。
我再次贴下证书的代码,在.net core 认证与授权(一)中也有。
var SchoolClaims = new List<Claim>()
{
new Claim(ClaimTypes.Name,"Jack"),
new Claim(ClaimTypes.Email,"Jack@fmail.com")
};
var LicensClaims = new List<Claim>()
{
new Claim(ClaimTypes.Name,"Jack.li"),
new Claim(ClaimTypes.Email,"Jack@fmail.com"),
new Claim("begin","2000.10.1")
};
var SchoolIdentity = new ClaimsIdentity(SchoolClaims,"Student Identity");
var CarManagerIdentity = new ClaimsIdentity(LicensClaims, "Licens Identity");
var userPrincipal = new ClaimsPrincipal(new[] { SchoolIdentity, CarManagerIdentity });
HttpContext.SignInAsync("CookieAuth", userPrincipal);
return RedirectToAction("Index");
在两个证书中,都没得国家。
然后访问:
https://localhost:44350/Home/Secret
自动跳转到了一个授权没有通过的网站,恰巧我没有写这个网页,姑且着就是没有通过的意思。
然后我再一个证书中添加了一个:
new Claim(ClaimTypes.Country,"china")
这样我又成功了。
好的,这是默认的策略,那么如何自定义呢?
config.AddPolicy("Claim.Country", policyBuilder =>
{
policyBuilder.RequireClaim(ClaimTypes.Country);
});
上面我添加了一个策略,名字叫做Claim.Country.
因为不是默认,所以要[Authorize(Policy = "Claim.Country")]
policyBuilder 相当于上面的var defaultAuthBuilder = new AuthorizationPolicyBuilder();。
然后里面去设置起码有一个证书中要有国家。
policyBuilder 默认有一些限制可以使用,那么如何自己来定义呢?究竟是一种什么模式呢?
public class CustomRequireClaim:IAuthorizationRequirement
{
public CustomRequireClaim(string ClainType)
{
this.ClainType = ClainType;
}
public string ClainType{ get; }
}
public class CustomRequireClaimHandler : AuthorizationHandler<CustomRequireClaim>
{
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomRequireClaim requirement)
{
var hasClaim = context.User.Claims.Any(u=>u.Type== requirement.ClainType);
if (hasClaim)
{
context.Succeed(requirement);
}
return Task.CompletedTask;
}
}
CustomRequireClaim 是什么呢?继承IAuthorizationRequirement。其实是模拟生活中的什么呢,比如说你要向批发商进一匹东西,有一些需求,比如说苹果要通红的,你就可以在这里填写。
CustomRequireClaimHandler 继承自AuthorizationHandler,批发商带一批货(程序也就是用户带着证书来了),你可以这个检查合格不合格,拿着你的需求表对照。
那么注册进入:
config.AddPolicy("Claim.Country", policyBuilder =>
{
policyBuilder.AddRequirements(new CustomRequireClaim(ClaimTypes.Country));
});
同样需要:
services.AddScoped<IAuthorizationHandler, CustomRequireClaimHandler>();
这里就有疑问了,你这个policyBuilder.AddRequirements(new CustomRequireClaim(ClaimTypes.Country));就能调用到CustomRequireClaimHandler。
这个疑问简单化就是,你有一个需求,就只调用到检查类?
其实是在软件设计中,有这样一种套路,就是根据实体类,能自动调用执行类,这是一种设计模式。其实也能理解,就是呢,比如说公司有一张请假单,都标明是请假单了,肯定交给部门经理啊,AuthorizationHandler
<CustomRequireClaim>就是标记,处理CustomRequireClaim的。
在里面其实只有IAuthorizationHandler,但是根据CustomRequireClaim能实例出CustomRequireClaimHandler。所以也需要加上:
services.AddScoped<IAuthorizationHandler, CustomRequireClaimHandler>();
同样,回过头来,看下面的。
policyBuilder.RequireClaim(ClaimTypes.Country);
如何做到直接点出来,不用这种add的方式呢?也就是说我也想实现这样的。
policyBuilder.RequireCustomClaim(ClaimTypes.Country);
我要能RequireCustomClaim然后可以调用到我给的限制.
下面是使用扩展的方式实现:
public static class AuthorizationPolicyBuilderExtensions
{
public static AuthorizationPolicyBuilder RequireCustomClaim(this AuthorizationPolicyBuilder policyBuilder,string claimType)
{
policyBuilder.AddRequirements(new CustomRequireClaim(claimType));
return policyBuilder;
}
}
扩展一下AuthorizationPolicyBuilder 就可以,这样方便复用性。
以前的时候我们这样写:
[Authorize(Roles = "admin")]
在这里就会检查我们的证书中是否有Roles 为admin。
然后呢,我们同样可以通过policy去实现。
config.AddPolicy("Claim.Role", policyBuilder =>
{
policyBuilder.RequireClaim(ClaimTypes.Role, "admin");
});
限制需要admin也是可以的,然后[Authorize(Policy= "Claim.Role")]。
具体看自己需求。
总结
后续继续写自己对认证授权理解。以上均为个人理解,如有误差,请指正。
.net core 认证与授权(三)的更多相关文章
- ASP.NET Core 认证与授权[3]:OAuth & OpenID Connect认证
在上一章中,我们了解到,Cookie认证是一种本地认证方式,通常认证与授权都在同一个服务中,也可以使用Cookie共享的方式分开部署,但局限性较大,而如今随着微服务的流行,更加偏向于将以前的单体应用拆 ...
- ASP.NET Core 认证与授权[5]:初识授权
经过前面几章的姗姗学步,我们了解了在 ASP.NET Core 中是如何认证的,终于来到了授权阶段.在认证阶段我们通过用户令牌获取到用户的Claims,而授权便是对这些的Claims的验证,如:是否拥 ...
- ASP.NET Core 认证与授权[6]:授权策略是怎么执行的?
在上一章中,详细介绍了 ASP.NET Core 中的授权策略,在需要授权时,只需要在对应的Controler或者Action上面打上[Authorize]特性,并指定要执行的策略名称即可,但是,授权 ...
- ASP.NET Core 认证与授权[1]:初识认证
在ASP.NET 4.X 中,我们最常用的是Forms认证,它既可以用于局域网环境,也可用于互联网环境,有着非常广泛的使用.但是它很难进行扩展,更无法与第三方认证集成,因此,在 ASP.NET Cor ...
- ASP.NET Core 认证与授权[2]:Cookie认证
由于HTTP协议是无状态的,但对于认证来说,必然要通过一种机制来保存用户状态,而最常用,也最简单的就是Cookie了,它由浏览器自动保存并在发送请求时自动附加到请求头中.尽管在现代Web应用中,Coo ...
- ASP.NET Core 认证与授权[1]:初识认证 (笔记)
原文链接: https://www.cnblogs.com/RainingNight/p/introduce-basic-authentication-in-asp-net-core.html 在A ...
- .net core 认证与授权(一)
前言 .net core web并不是一个非常新的架构,很多文章提及到认证与授权这个过程,但是一般都会提及到里面的方法怎么用的,而不是模拟一个怎样的过程,所以我打算记录自己的理解. 什么是认证?我们大 ...
- 聊聊 asp.net core 认证和授权
使用asp.net core 开发应用系统过程中,基本上都会涉及到用户身份的认证,及授权访问控制,因此了解认证和授权流程也相当重要,下面通过分析asp.net core 框架中的认证和授权的源码来分析 ...
- ASP.NET Core 认证与授权[7]:动态授权
ASP.NET Core 中基于策略的授权旨在分离授权与应用程序逻辑,它提供了灵活的策略定义模型,在一些权限固定的系统中,使用起来非常方便.但是,当要授权的资源无法预先确定,或需要将权限控制到每一个具 ...
随机推荐
- 大数据hadoop集群部署(一)
环境系统配置 JAVA虚拟机的安装
- java的package和import机制
在说package.import机制前我们先来了解下java的CLASSPATH. CLASSPATH顾名思义就是class的路径,当我们在系统中运行某个java程序时,它就会告诉系统在这些地方寻找这 ...
- net core天马行空系列:SummerBoot,将SpringBoot的先进理念与C#的简洁优雅合二为一
系列目录 1.net core天马行空系列:原生DI+AOP实现spring boot注解式编程 2.net core天马行空系列: 泛型仓储和声明式事物实现最优雅的crud操作 3.net core ...
- FPM简介(定制rpm包)
FPM简介 fpm是生成rpm包的工具.rpm包的制作,采用fpm工具完成,FPM非常易用,此命令可以把rpm包的安装.卸载做得更加优雅,在安装前可以做一些准备工作,安装后可以做一些收尾工作,在卸载前 ...
- $Poj3017\ Cut\ The\ Sequence$ 单调队列优化$DP$
Poj AcWing Description 给定一个长度为N的序列 A,要求把该序列分成若干段,在满足“每段中所有数的和”不超过M的前提下,让“每段中所有数的最大值”之和最小. N<=10 ...
- 第 426 期 Python 周刊
文章,教程和讲座 端到端机器学习:从数据收集到模型部署 链接: https://ahmedbesbes.com/end-to-end-ml.html 在本文中,我们将完成构建和部署机器学习应用程序的必 ...
- 你的IDEA过期了?跃哥四大招帮你稳住
作者:Dimple Solgan:当你的才华还无法撑起你的野心时候,那应该静下心来好好学习 前天晚上在群里风风火火组建了两个学习小组,一个是面向Java初学,一个是面向Python初学,把我搞的兴奋不 ...
- vue 2.0以上怎么在手机中运行自己的项目
第一步 打开vue项目 第二步 打开项目config/index.js文件,然后找到 module.exports 配置里面的 dev 配置,修改字段host:0.0.0.0 第三步 打开cmd输入i ...
- 在EasyUI项目中使用FileBox控件实现文件上传处理
我在较早之前的随笔<基于MVC4+EasyUI的Web开发框架形成之旅--附件上传组件uploadify的使用>Web框架介绍中介绍了基于Uploadify的文件上传操作,免费版本用的是J ...
- keuectl命令
Kubernetes命令行 kubectl用于运行Kubernetes集群命令的管理工具 kubectl命令行语法 kubectl [command] [TYPE] [NAME] [flags] co ...