主頁 > .NET開發 > .NET CORE 鑒權

.NET CORE 鑒權

2022-02-20 06:06:43 .NET開發

基礎資訊

1.什么是鑒權授權?
  • 鑒權是驗證用戶是否擁有訪問系統的權利,授權是判斷用戶是否有權限做一些其他操作,

2.傳統的Session 和Cookie
  • 主要用于無狀態請求下的的用戶身份識別,只不過Session將資訊存盤在服務端,Cookie將資訊存盤在客戶端,

Session

  1. 在客戶端第一次進行訪問時,服務端會生成一個Session id回傳到客戶端

  2. 客戶端將Session id存盤在本地后續每一次請求都帶上這個id

  3. 服務端從接收到的請求中根據Session id在自己存盤的資訊中識別客戶端

Cookie

  1. 在客戶端訪問服務器時,服務端會在回應中頒發一個Cookie

  2. 客戶端會把cookie存盤,當再訪問服務端時會將cookie和請求一并提交

  3. 服務端會檢查cookie識別客戶端,并也可以根據需要修改cookie的內容


3.存在的問題

在分布式或集群系統中使用Session

假設現在服務器為了更好的承載和容災將系統做了分布式和集群,也就是有了N個服務端,那是不是每一個服務端都要具有對每一個客戶端的Session或者Cookie的識別能力呢?

這個可以使用Session共享的方式用于Session的識別,但是這并不能解決分布式系統下依然存在這個問題,因為通常每一個分布式系統都由不同的人負責或者跨網路,甚至不同的公司,不可能全部都做session共享吧?這個時候就誕生了一個新的方式,使用Token


4.Token
  • Token是服務端生成的一串字串,以作客戶端進行請求的一個令牌,

image.png

執行步驟

  1. 用戶向統一的鑒權授權系統發起用戶名和密碼的校驗

  2. 校驗通過后會頒發一個Token,用戶就拿著頒發的Token去訪問其他三方系統

  3. 三方系統可以直接請求鑒權授權系統驗證當前Token的合法性,也可以根據對稱加密使用秘鑰解密Token以驗證合法性


.NET Core中鑒權

  • Authentication: 鑒定身份資訊,例如用戶有沒有登錄,用戶基本資訊

  • Authorization: 判定用戶有沒有權限

1.NET Core鑒權授權基本概念

在NETCORE中鑒權授權是通過AuthenticationHttpContextExtensions擴展類中的實作的HttpContext的擴展方法來完成的

 public static class AuthenticationHttpContextExtensions
 {
   public static Task SignInAsync(this HttpContext context, string scheme, ClaimsPrincipal principal, AuthenticationProperties properties) 
   {
       context.RequestServices.GetRequiredService<IAuthenticationService>().SignInAsync(context, scheme, principal, properties);
   }         
 }

它真正的核心在
Microsoft.AspNetCore.Authorization模塊,整個流程處理主要包含如下幾個關鍵類

  • IAuthenticationHandlerProvider

負責對用戶憑證的驗證,提供IAuthenticationHandler處理器給IAuthenticationService用于處理鑒權請求,當然可以自定義處理器

  • IAuthenticationSchemeProvider

選擇標識使用的是哪種認證方式

  • IAuthenticationService

提供鑒權統一認證的5個核心業務介面

 public interface IAuthenticationService
 {
   //查詢鑒權
   Task<AuthenticateResult> AuthenticateAsync(HttpContext context, string scheme);
 
   //登錄寫入鑒權憑證
   Task SignInAsync(HttpContext context, string scheme, ClaimsPrincipal principal, AuthenticationProperties properties);
     
    //退出登錄清理憑證
   Task SignOutAsync(HttpContext context, string scheme, AuthenticationProperties properties);
   
   Task ChallengeAsync(HttpContext context, string scheme, AuthenticationProperties properties);
   
   Task ForbidAsync(HttpContext context, string scheme, AuthenticationProperties properties);
 }

在它的實作類AuthenticationService中的SignInAsync方法
配合IAuthenticationHandlerProvider 和IAuthenticationSchemeProvider得到一個IAuthenticationHandler,最終將鑒權寫入和讀取都由它完成

public virtual async Task SignInAsync(HttpContext context, string scheme, ClaimsPrincipal principal, AuthenticationProperties properties)
{      
   if (scheme == null)
    {
        //IAuthenticationSchemeProvider實體
        var defaultScheme = await Schemes.GetDefaultSignInSchemeAsync();
        scheme = defaultScheme?.Name;
    }

  //IAuthenticationHandlerProvider實體獲取處理器
  var handler = await Handlers.GetHandlerAsync(context, scheme);
  var signInHandler = handler as IAuthenticationSignInHandler;
  
  //各自的處理器handler 
  //例如使用Cookie 就會注入一個CookieAuthenticationHandler
  //使用JWT 就注入一個JwtBearerHandler
  await signInHandler.SignInAsync(principal, properties);
}

2.使用Cookie默認流程鑒權
  1. 使用中間件加入管道,用于找到鑒權HttpContext.AuthenticateAsync()
   //核心原始碼就是AuthenticationMiddleware中間件
   app.UseAuthentication();
  1. 注入容器,將CookieAuthenticationHandler作為處理邏輯
services.AddAuthentication(options =>
{
     //CookieAuthenticationDefaults.AuthenticationScheme == "Cookies"
     options.DefaultAuthenticateScheme = "Cookies";
     options.DefaultSignInScheme = "Cookies";
}).AddCookie();
  1. 在登錄時寫入憑證
  • Claims:一項資訊,例如工牌的姓名是一個Claims ,工牌號碼也是一個Claims

  • ClaimsIdentity:一組Claims 組成的資訊,就是一個用戶身份資訊

  • ClaimsPrincipal:一個用戶有多個身份

  • AuthenticationTicket:用戶票據,用于包裹ClaimsPrincipal

    
  [AllowAnonymous]
  public async Task<IActionResult> Login(string name, string password)
  {
      if(name!="Admin" && password!="000000")
      {
         var result = new JsonResult(new{ Result = false,Message = "登錄失敗"});
         return result;
      }
     //Claims  ? ClaimsIdentity ? ClaimsPrincipal
     var claimIdentity = new ClaimsIdentity("ClaimsIdentity");
     claimIdentity.AddClaim(new Claim(ClaimTypes.Name, name));
     claimIdentity.AddClaim(new Claim(ClaimTypes.Address, "地址資訊"));
     
     AuthenticationProperties ap = new AuthenticationProperties();
     ClaimsPrincipal claimsPrincipal = new ClaimsPrincipal(claimIdentity);
     await base.HttpContext.SignInAsync("Cookies",claimsPrincipal , ap)
     return new JsonResult(new{ Result = false,Message = "登錄成功"});
  }

4.在其他控制器上標記[Authorize]特性,在訪問介面框架會自動進行鑒權并將身份資訊寫入背景關系

  • [AllowAnonymous]:匿名可訪問

  • [Authorize]:必須登錄才可訪問


3.自定義IAuthenticationHandler
  1. 實作IAuthenticationHandler, IAuthenticationSignInHandler, IAuthenticationSignOutHandler三個介面

public class CoreAuthorizationHandler : IAuthenticationHandler
,IAuthenticationSignInHandler, IAuthenticationSignOutHandler
{
      public AuthenticationScheme Scheme { get; private set; }
      protected HttpContext Context { get; private set; }
      public Task InitializeAsync(AuthenticationScheme scheme, HttpContext context)
      {
          Scheme = scheme;
          Context = context;
          return Task.CompletedTask;
      }
      
     public async Task<AuthenticateResult> AuthenticateAsync()
     {
        var cookie = Context.Request.Cookies["CustomCookie"];
        if (string.IsNullOrEmpty(cookie))
        {
            return AuthenticateResult.NoResult();
        }
        AuthenticateResult result = AuthenticateResult
        .Success(Deserialize(cookie));
        return  await Task.FromResult(result);
    }
    
     public Task ChallengeAsync(AuthenticationProperties properties)
     {
          return Task.CompletedTask;
     }

     public Task ForbidAsync(AuthenticationProperties properties)
     {
          Context.Response.StatusCode = 403;
          return Task.CompletedTask;
     }
        
         public Task SignInAsync(ClaimsPrincipal user, AuthenticationProperties properties)
        {
            var ticket = new AuthenticationTicket(user, properties, Scheme.Name);
            Context.Response.Cookies.Append("CoreAuthorizationHandlerCookies", Serialize(ticket));
            return Task.CompletedTask;
        }

     public Task SignOutAsync(AuthenticationProperties properties)
     {
            Context.Response.Cookies.Delete("CoreAuthorizationHandlerCookies");
            return Task.CompletedTask;
     }
        
     private AuthenticationTicket Deserialize(string content)
     {
         byte[] byteTicket = System.Text.Encoding.Default.GetBytes(content);
         return TicketSerializer.Default.Deserialize(byteTicket);
     }
     private string Serialize(AuthenticationTicket ticket)
     {
        //需要引入  Microsoft.AspNetCore.Authentication
        byte[] byteTicket = TicketSerializer.Default.Serialize(ticket);
        return Encoding.Default.GetString(byteTicket);
     }
}

  1. 在容器中注冊自定義的Handler

services.AddAuthenticationCore(options =>
{
   options.AddScheme<CoreMvcAuthenticationHandler>("AuthenticationScheme", "AuthenticationScheme");
});

轉載請註明出處,本文鏈接:https://www.uj5u.com/net/428419.html

標籤:.NET技术

上一篇:.Net FW下預編譯帶來的啟動錯誤

下一篇:C#Winform 注冊使用全域快捷鍵詳解

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • WebAPI簡介

    Web體系結構: 有三個核心:資源(resource),URL(統一資源識別符號)和表示 他們的關系是這樣的:一個資源由一個URL進行標識,HTTP客戶端使用URL定位資源,表示是從資源回傳資料,媒體型別是資源回傳的資料格式。 接下來我們說下HTTP. HTTP協議的系統是一種無狀態的方式,使用請求/ ......

    uj5u.com 2020-09-09 22:07:47 more
  • asp.net core 3.1 入口:Program.cs中的Main函式

    本文分析Program.cs 中Main()函式中代碼的運行順序分析asp.net core程式的啟動,重點不是剖析原始碼,而是理清程式開始時執行的順序。到呼叫了哪些實體,哪些法方。asp.net core 3.1 的程式入口在專案Program.cs檔案里,如下。ususing System; us ......

    uj5u.com 2020-09-09 22:07:49 more
  • asp.net網站作為websocket服務端的應用該如何寫

    最近被websocket的一個問題困擾了很久,有一個需求是在web網站中搭建websocket服務。客戶端通過網頁與服務器建立連接,然后服務器根據ip給客戶端網頁發送資訊。 其實,這個需求并不難,只是剛開始對websocket的內容不太了解。上網搜索了一下,有通過asp.net core 實作的、有 ......

    uj5u.com 2020-09-09 22:08:02 more
  • ASP.NET 開源匯入匯出庫Magicodes.IE Docker中使用

    Magicodes.IE在Docker中使用 更新歷史 2019.02.13 【Nuget】版本更新到2.0.2 【匯入】修復單列匯入的Bug,單元測驗“OneColumnImporter_Test”。問題見(https://github.com/dotnetcore/Magicodes.IE/is ......

    uj5u.com 2020-09-09 22:08:05 more
  • 在webform中使用ajax

    如果你用過Asp.net webform, 說明你也算是.NET 開發的老兵了。WEBform應該是2011 2013左右,當時還用visual studio 2005、 visual studio 2008。后來基本都用的是MVC。 如果是新開發的專案,估計沒人會用webform技術。但是有些舊版 ......

    uj5u.com 2020-09-09 22:08:50 more
  • iis添加asp.net網站,訪問提示:由于擴展配置問題而無法提供您請求的

    今天在iis服務器配置asp.net網站,遇到一個問題,記錄一下: 問題:由于擴展配置問題而無法提供您請求的頁面。如果該頁面是腳本,請添加處理程式。如果應下載檔案,請添加 MIME 映射。 WindowServer2012服務器,添加角色安裝完.netframework和iis之后,運行aspx頁面 ......

    uj5u.com 2020-09-09 22:10:00 more
  • WebAPI-處理架構

    帶著問題去思考,大家好! 問題1:HTTP請求和回傳相應的HTTP回應資訊之間發生了什么? 1:首先是最底層,托管層,位于WebAPI和底層HTTP堆疊之間 2:其次是 訊息處理程式管道層,這里比如日志和快取。OWIN的參考是將訊息處理程式管道的一些功能下移到堆疊下端的OWIN中間件了。 3:控制器處理 ......

    uj5u.com 2020-09-09 22:11:13 more
  • 微信門戶開發框架-使用指導說明書

    微信門戶應用管理系統,采用基于 MVC + Bootstrap + Ajax + Enterprise Library的技術路線,界面層采用Boostrap + Metronic組合的前端框架,資料訪問層支持Oracle、SQLServer、MySQL、PostgreSQL等資料庫。框架以MVC5,... ......

    uj5u.com 2020-09-09 22:15:18 more
  • WebAPI-HTTP編程模型

    帶著問題去思考,大家好!它是什么?它包含什么?它能干什么? 訊息 HTTP編程模型的核心就是訊息抽象,表示為:HttPRequestMessage,HttpResponseMessage.用于客戶端和服務端之間交換請求和回應訊息。 HttpMethod類包含了一組靜態屬性: private stat ......

    uj5u.com 2020-09-09 22:15:23 more
  • 部署WebApi隨筆

    一、跨域 NuGet參考Microsoft.AspNet.WebApi.Cors WebApiConfig.cs中配置: // Web API 配置和服務 config.EnableCors(new EnableCorsAttribute("*", "*", "*")); 二、清除默認回傳XML格式 ......

    uj5u.com 2020-09-09 22:15:48 more
最新发布
  • C#多執行緒學習(二) 如何操縱一個執行緒

    <a href="https://www.cnblogs.com/x-zhi/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/2943582/20220801082530.png" alt="" /></...

    uj5u.com 2023-04-19 09:17:20 more
  • C#多執行緒學習(二) 如何操縱一個執行緒

    C#多執行緒學習(二) 如何操縱一個執行緒 執行緒學習第一篇:C#多執行緒學習(一) 多執行緒的相關概念 下面我們就動手來創建一個執行緒,使用Thread類創建執行緒時,只需提供執行緒入口即可。(執行緒入口使程式知道該讓這個執行緒干什么事) 在C#中,執行緒入口是通過ThreadStart代理(delegate)來提供的 ......

    uj5u.com 2023-04-19 09:16:49 more
  • 記一次 .NET某醫療器械清洗系統 卡死分析

    <a href="https://www.cnblogs.com/huangxincheng/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/214741/20200614104537.png" alt="" /&g...

    uj5u.com 2023-04-18 08:39:04 more
  • 記一次 .NET某醫療器械清洗系統 卡死分析

    一:背景 1. 講故事 前段時間協助訓練營里的一位朋友分析了一個程式卡死的問題,回過頭來看這個案例比較經典,這篇稍微整理一下供后來者少踩坑吧。 二:WinDbg 分析 1. 為什么會卡死 因為是表單程式,理所當然就是看主執行緒此時正在做什么? 可以用 ~0s ; k 看一下便知。 0:000> k # ......

    uj5u.com 2023-04-18 08:33:10 more
  • SignalR, No Connection with that ID,IIS

    <a href="https://www.cnblogs.com/smartstar/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/u36196.jpg" alt="" /></a>...

    uj5u.com 2023-03-30 17:21:52 more
  • 一次對pool的誤用導致的.net頻繁gc的診斷分析

    <a href="https://www.cnblogs.com/dotnet-diagnostic/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/3115652/20230225090434.png" alt=""...

    uj5u.com 2023-03-28 10:15:33 more
  • 一次對pool的誤用導致的.net頻繁gc的診斷分析

    <a href="https://www.cnblogs.com/dotnet-diagnostic/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/3115652/20230225090434.png" alt=""...

    uj5u.com 2023-03-28 10:13:31 more
  • C#遍歷指定檔案夾中所有檔案的3種方法

    <a href="https://www.cnblogs.com/xbhp/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/957602/20230310105611.png" alt="" /></a&...

    uj5u.com 2023-03-27 14:46:55 more
  • C#/VB.NET:如何將PDF轉為PDF/A

    <a href="https://www.cnblogs.com/Carina-baby/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/2859233/20220427162558.png" alt="" />...

    uj5u.com 2023-03-27 14:46:35 more
  • 武裝你的WEBAPI-OData聚合查詢

    <a href="https://www.cnblogs.com/podolski/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/616093/20140323000327.png" alt="" /><...

    uj5u.com 2023-03-27 14:46:16 more