基于路由参数的ASP.NET Web API角色授权
是一种在ASP.NET Web API应用程序中实现角色授权的方法。在Web API中,角色授权可以用于限制用户对特定资源或操作的访问权限。
概念: 基于路由参数的角色授权是指通过在路由参数中指定角色信息,来限制用户对API资源的访问权限。只有具有指定角色的用户才能访问对应的API端点。
分类: 基于路由参数的角色授权属于API级别的授权方式,不同于基于身份验证的授权方式,其重点是控制用户对API资源的访问权限。
优势:
- 简单易用:通过在路由参数中指定角色信息,不需要额外的配置或代码。
- 灵活性:可以根据不同的API端点,指定不同的角色要求。
- 安全性:只有具有相应角色的用户才能访问对应的API端点,有效保护敏感数据和操作。
应用场景:
- 身份验证和授权:通过基于路由参数的角色授权,可以限制只有具有特定角色的用户才能执行敏感操作,如管理员角色可以执行删除操作。
- 数据保护:基于路由参数的角色授权可用于限制用户对敏感数据的访问,确保只有授权用户才能获取到相关数据。
- API访问控制:基于路由参数的角色授权可用于控制不同用户对API资源的访问权限,确保只有具有相应角色的用户才能执行对应操作。
推荐的腾讯云相关产品: 腾讯云提供了一系列与云计算和Web应用开发相关的产品,以下是几个与ASP.NET Web API角色授权相关的产品:
- 腾讯云API网关(API Gateway):可用于管理和部署API接口,并提供了强大的访问控制和认证功能,可以与ASP.NET Web API集成实现角色授权。 产品介绍链接:https://cloud.tencent.com/product/apigateway
- 腾讯云访问管理(CAM):可用于管理API的访问权限和角色授权,可以灵活地控制用户对云资源的访问权限。 产品介绍链接:https://cloud.tencent.com/product/cam
- 腾讯云云服务器(CVM):提供强大的云服务器资源,可用于承载ASP.NET Web API应用程序,并与其他腾讯云产品配合使用实现角色授权。 产品介绍链接:https://cloud.tencent.com/product/cvm
请注意:以上链接仅为示例,实际选择产品时需根据具体需求和情况进行评估和选择。
相关·内容
我目前在一个系统上工作,在这个系统中,我们有一个自定义的身份验证/授权系统。 我们正在迁移到AWS、Web API和lambda...我想重用我们当前拥有的用于身份验证/授权的内容。 我正在考虑一个身份验证/授权lambda,它有一个用于登录的端点和一个用于获取特定用户角色的端点。 web API将这两个路由路由到身份验证/授权lambda,其余路由到其他lambda。 我还需要使用JWT对网关进行后续调用。在我上面的场景中,令牌的生成/使用必须发生在哪里? 在这个新的AWS网关/lambda领域中,有没有更好的方式来利用我们的自定义用户/角色方案?
浏览 32提问于2019-05-15得票数 0
回答已采纳
2回答
是否可以使用ASP.NET授权纯HTML文件?
目前,我们的应用程序在服务器端使用ASP.NET Web API,在客户端使用AngularJS,在Razor中使用ASP.NET MVC的“胶水”层。我们考虑完全消除MVC和Razor层,因为:
在HTML之上没有两个语法的混合-- Razor和角(至少没有必要在两者之间做出选择,同时两者都可以完成任务)
能够从解决方案中完全提取客户端,甚至可能使用另一个IDE
使用不同的服务器轻松替换ASP.NET Web的能力
-涵盖大多数Razor使用,但授权。这说明了如何为未经身份验证的用户- 隐藏HTML页面。
在ASP.NET
浏览 4提问于2014-03-23得票数 0
回答已采纳
2回答
我有一个使用JWT持有者身份验证的web api。现在,我想知道如何在asp.net核心上使用JWT令牌实现基于角色的授权。我使用基于角色的授权尝试了这个,但没有得到太多帮助。
有没有人有一篇好文章可以学习,或者有关于如何实现基于角色的授权的示例代码?
谢谢。
浏览 0提问于2018-03-28得票数 1
1回答
我们正在为我们的客户端创建一个Restful,它将被他们的本地移动应用程序和网络应用程序所消耗,只有,而不是第三方访问。
每个用户在应用程序中都有自己的凭据和角色,以及基于角色的访问(也就是授权)。
在不保留会话的情况下,在web中对用户进行身份验证和角色授权的最佳方法是什么?我使用的是Asp.net WebAPI1.0,因为我使用的是4.0框架。
我是否需要在每次调用时从DB获取角色信息。有有效的方法吗?
浏览 1提问于2013-12-02得票数 0
我在我的ASP.NET Web API2项目中使用角色来限制对某些资源的访问。 现在我有以下场景:俱乐部经理只能为他管理的俱乐部执行GET。俱乐部经理不应该被授权访问他不管理的俱乐部。 这是获得一个俱乐部的方法: [Authorize(Roles = "ClubManager")]
[Route("{clubId}")]
public Club GetClub(int clubId) 如您所见,我只允许角色为"ClubManager“的用户访问此资源。但我还必须确保用户是在clubId参数中具有给定路由的俱乐部的经理。我可以使用Authorize属性来
浏览 28提问于2018-01-05得票数 6
回答已采纳
1回答
我有一个ASP.NET核心web应用程序,我已经托管在Azure门户。我想将身份验证添加到应用程序中,也希望有不同的角色,其中一些用户将只拥有视图,而一些用户将在web应用程序中拥有编辑权限。
为了实现这一点,我向应用程序中添加了用户和组,如前面提到的,以处理可以查看和编辑等角色,我在清单中创建了角色,并向少数用户添加了这个角色,如前面提到的。
现在,要在asp.net核心mvc web应用程序中阅读这个用户角色,我需要使用什么?我看到了一些文章建议使用图形API、Open等等,那么这里最好的方法是什么。
浏览 2提问于2020-09-16得票数 0
回答已采纳
因此,我在ASP.NET核心中构建了一个自定义Web,它是由角色授权的。在其他核心网络应用中使用这个API的正确方法是什么?我应该如何授权应用程序使用API?
编辑:关于我试图做的事情的更多细节:
假设我有授权政策。在我单独的Web应用程序中,我在Startup中声明了这个策略,并授权了一些API方法。它工作,现在托管在"webapi.foo.com",太棒了。现在假设我创建了一个新的、独立的web应用程序,我想使用API中的一些方法。因此,我想我的问题是双重的:如何在"webapi.foo.com“中称呼这些方法?如何确保我的应用程序拥有调用这些授权方法的权限?
浏览 3提问于2016-04-22得票数 1
回答已采纳
大家好,我有一个问题,我有一个Asp.NET Web.API应用程序,具有创建用户管理用户权限等示例中的用户管理功能,现在我已经开发了另一个Web.API应用程序,我需要通过第一个应用程序用户凭据来实现身份验证和授权。实现这一目标的最佳方法或解决方案是什么?请注意,在第一个应用程序中,我将经典的基于角色的授权改为基于权限。
提前感谢您的帮助。
浏览 1提问于2017-04-07得票数 0
2回答
可伸缩/可重用的授权模型
、、、
好的,我正在寻找一些架构指导,我的团队有机会使用我们正在构建的新功能重新制定某些决策,我想看看他们的想法是什么:-)当然有一些我们没有改变的东西,所以解决方案必须适合这个模型。也就是说,我们有一个ASP.NET应用程序,它使用web服务来允许用户在系统上执行操作。
问题出现的原因是,与许多系统一样,不同的用户需要访问不同的功能。一些角色可以访问Y按钮,而另一些角色可以访问Y和B按钮,而另一些角色仍然只能访问B。大多数情况下,开发人员只是使用错综复杂的if语句来处理UI状态。我担心的是,如果不加以检查,这将成为一个不可维护的烂摊子,因为除了将授权逻辑放在GUI中之外,还需要将其放入web服务中(
浏览 0提问于2008-10-15得票数 2
回答已采纳
我们目前正在开发一个具有以下架构的web应用程序。
基于角7的单页应用程序
一个基于.NET核心WebAPI的后端。
我目前正在考虑最佳实践,以涵盖这类应用程序的身份验证和授权要求。
客户端授权
SPA在登录后使用JWT。
路由授权将由路由警卫以角度处理。例如,用户具有reportviewer角色,用户将被允许路由查看与报表相关的组件.
根据JWT的信息,菜单项将是可见的。例如,用户具有reportviewer角色,用户将看到与报表相关的菜单项.
服务器端
JWT将包含一些授权信息。(例如,角色声明)授权属性将用于WebAPI的授权。
我已经开发了一个用户编
浏览 0提问于2019-03-29得票数 2
1回答
新的ASP.NET 4.5代码将ASP.NET RoleProvider“复制”为ClaimsProvider。
我想弄清楚的是,“基于声明”的授权示例(最好是在MVC4中)是什么样子的?我的授权属性如何与此功能交互?WebSecurity和角色API没有改变;没有"DoesUserHaveClaim()“签名。同样,也不清楚授权属性是如何与索赔交互的。
这个“索赔授权”功能主要是针对OAuth的吗?如果是,如何将索赔转发给我的应用程序?一块饼干?或者,这种声明-提供者的功能是为了更广泛的用途?
简而言之,使用ClaimsPrincipal的故事是什么?
我看到的最接近有意义的东西是。
浏览 2提问于2012-11-19得票数 37
回答已采纳
1回答
我正在编写一个ASP.NET核心1.1Web应用程序。现在我正在尝试设置我的数据库,以便它已经准备好使用,但是我被一些看似基本的东西踩到了……
我对角色相当熟悉,对权利要求也比较熟悉。我知道我可以创建一个ClaimTypes.Role类型的声明。但是,当我准备在身份数据库中添加用户、角色等时,我不清楚这些项目:
我应该只使用RoleManager创建标准角色吗?
我应该只创建一个ClaimTypes.Role声明吗?
我该做这两件事才能让系统正常运转吗?
例如,我希望有角色管理,所有者,员工和平原。
Admin
identity:full
Owner
ide
浏览 0提问于2017-06-20得票数 0
我有一个web api,具有基本的jwt身份验证和基于角色的授权。现在,我想限制某些字段被角色为user的用户编辑,因为基于路由的授权是不够的。
class Account {
public int Id {get; set;}
public string Email {get; set;}
public string Password {get; set;}
public bool Enabled {get; set;} // <- this field should only be editable by an admin or manager
浏览 1提问于2020-06-08得票数 9
2回答
我正在为mongodb中的应用程序编写模式。通常在带有Sql的asp.net中,我们将页面/UI分配给每个角色,这意味着角色有访问页面的权限(查看/编辑)。当角色登录到应用程序时,他只能在分配给该角色的页面中查看/编辑,则将不会为该角色显示联合国指定的页面。
在c#中,我通过在pre_init事件中编写代码来限制角色。平均来说,Stack应用程序和我尝试使用mongoDB的方式一样。
var mongoose = require('mongoose'),
Schema = mongoose.Schema;
var rolesSchema = new Sche
浏览 3提问于2017-03-01得票数 0
回答已采纳
2回答
我想提供一个可以由以下格式调用的ASP.Net Web:
http ://myApiServer/API/MyLookupMethod/GetForIVR/PhoneNumber/8005551212
或
http ://myApiServer/API/MyLookupMethod/GetForIVR?LookupType=PhoneNumber&LookUpValue=8005551212
是否有可能建立一条适用于任何一种呼叫的路由?
我现在的路线是
config.Routes.MapHttpRoute(
name:"MyRoute",
routeTe
浏览 2提问于2016-07-28得票数 0
我们希望基于以下角色设置自己的OAuth 2.0授权服务器:
资源服务器--一个用ASP.NET Web构建的API
Client -一个用ASP.NET MVC构建的web应用程序
资源所有者-最终用户
我们计划使用密码授予类型(),这样资源所有者将向客户机提交他们的凭据,而客户端则会提出授权请求。我们希望使用基本身份验证来验证客户端请求。
我很难使用支持此授予类型的DNOA来设置授权服务器。我已经下载了Authorization示例项目,但这似乎使用了基于令牌的授权(用户直接使用授权服务器进行身份验证--在示例中,通过OpenID)。
当我尝试使用fiddler发出授权
浏览 1提问于2012-10-10得票数 6
我正在开发一个ASP.NET MVC内部网网站,它需要有一些不同的用户角色(管理员、编辑、撰稿人等等)。后端使用Server。我通过scottgu阅读了关于基于角色的安全性的,并以此作为起点。我遵循的步骤是:
使用asp_regsql.exe应用程序配置DB,将身份验证模式设置为windows
<authentication mode = "Window" />
将连接字符串项添加到Web.config中,
<connectionStrings>
<add name="SqlRoleManagerConnection"
浏览 1提问于2011-05-03得票数 4
回答已采纳
我在一个asp.net应用程序中使用Durandal,这个应用程序工作得很好。我想要达到的是把一些东西,它的路由,以便如果需要,我可以停止目前的路线和重定向。
这样做的原因是,我希望将权限存储在数据库中的某些路由作为权限基础。因此,在路由过程中,我想检查路由,相应地使用web来检查它们是否有访问该路由的权限,如果有,则使用重定向或使用视图模型上的方法来检查该路由并相应地重定向。我确实在视图模型上使用了激活函数,我想知道路由是否可以重定向到这里?
以前有人这样做过吗?
编辑:下面是下面这个很好的答案,下面是我最终在测试路线上使用的代码。web函数HasAccessToRoute部件返回一个boo
浏览 2提问于2015-01-05得票数 0
回答已采纳
在过去的几个小时里,我一直在尝试执行托管在asp.net webforms website中的asp.net webforms website。我知道它是有线的,但是由于旧的项目设计,我不得不做this.each时间,我用Controller调用动作
{"Message":"No HTTP resource was found that matches the request URI 'http://localhost:3049/api/chart/test?id=58'.","MessageDetail":"No act
浏览 2提问于2015-12-13得票数 2
回答已采纳
我正在使用一些定制中间件开发一些Web项目,使用ASP.Net核心2,它将从第三方服务获得的授权信息转换为新的声明标识,并将其添加到http上下文用户声明主体中。我还实现了一些自定义授权策略提供程序,它检查添加的索赔标识以获得所需的权限和角色。
现在,我想在相同的控制器上执行两个操作,如下所示:
[Route("api/[controller]")]
public class StatesController : Controller
{
[Authorize("PaiedUser")]
[HttpGet(Name = "GetStates")
浏览 1提问于2018-05-07得票数 3
回答已采纳
在我的核心API中,我正在考虑从基于角色的转换到ASP.NET。
我目前正在使用JWT来处理授权,将当前用户的角色作为ClaimTypes.Role添加到访问令牌中。我的猜测是,默认的[Authorize]属性使用ClaimsPrincipal.IsInRole()方法对请求进行授权,而后者则专门查看索赔类型等于ClaimTypes.Role的声明。
现在,如果切换到基于策略的授权,则需要在访问令牌中使用权限替换角色。问题是,我是否可以继续将这些权限作为ClaimTypes.Role添加到令牌中,还是应该使用不同的ClaimTypes?
浏览 2提问于2022-09-05得票数 0
回答已采纳
1回答
我根据某些角色和使用URL授权将我的页面分类在不同的文件夹中,例如,我在web.config中使用了以下代码来限制对管理内容的访问:
<configuration>
<system.web>
<authorization>
<allow roles="Admin" />
<allow roles="SuperAdmin" />
<deny roles="Member" />
<deny users="?
浏览 4提问于2011-01-19得票数 1
回答已采纳
1回答
多级角色授权的数据库设计
、、、、
我正在设计一个基于ASP.NET网络的应用程序,它需要Multilevel基于角色的授权和权限(CRUD操作)。
它要求授权用户访问Web-Forms,并对数据库的表单和表进行CRUD操作。
应用程序的管理员将能够确定哪些角色有权访问特定页面,以及哪些操作被授权执行。
//More Info :
我使用的是ASP.NET Web-Form4.0和实体框架4.1数据库优先的方法。
我熟悉ASP.NET 2.0的成员资格、角色和表单身份验证。
我将不胜感激任何建议或帮助设计数据库。
浏览 15提问于2011-10-26得票数 2
回答已采纳
2回答
我有一个带有ApiController的ASP.NET Web API项目,它提供了一个具有以下操作的User端点:
GET /api/User
POST /api/User
DELETE /api/user
我想提供以下端点:
GET /api/user/metrics
但是,当我像这样定义控制器操作时:
[HttpGet]
public HttpResponseMessage Metrics()
{
return null;
}
我收到Multiple actions were found that match the request错误消息。
我知道这违反了“纯”REST API
浏览 46提问于2014-01-16得票数 18
回答已采纳
我正在使用ASP.Net Web API,并且我需要向控制器中的accions传递不同数量的参数,但是我还没有找到(我是Web API的新手)一种特定的方法来为我的控制器中可能具有的不同方法指示路由模板。
目前我有这个模板。
config.Routes.MapHttpRoute(
name: "DefaultApi",
routeTemplate: "api/{controller}/{action}/{id}",
defaults: new { id = RouteParame
浏览 0提问于2014-05-17得票数 2
2回答
没有角色的要求?
、、、
我正在尝试理解ASP.NET身份验证和授权机制。我明白什么是主张,什么是角色。在几乎每一篇相关的博客文章中,或者在这里提出的问题中,都建议使用声明,避免扮演角色。我对此感到困惑。我如何在没有角色的情况下使用声明?(我通常在用户注册后为他们分配角色。)
任何帮助都是非常感谢的。
谢谢
浏览 3提问于2015-04-12得票数 5
回答已采纳
我正在.NET 4.0上开发一个ASP.NET MVC4站点。我正在尝试向WEB API验证该站点。现在,站点将传递用户名和密码,WEB API将对其进行身份验证。如果身份验证,WEB API将返回一个令牌与角色,生存时间等。我正在寻找这方面的一些指针。
1.)如何生成此令牌?我不想使用STS或其他任何东西。即使是一种非愚蠢的方法也可以。2.)在MVC端,我必须接收这个令牌,并将当前会话设置为已验证,并确保一旦TTL过期,我将用户重定向到登录页面?另外,在所有WEB API请求中,我都需要发送这个令牌。
浏览 0提问于2013-04-21得票数 5
回答已采纳
我有一个ASP.NET核心3.1Web应用程序,它为交互式用户(页面)提供了ASP.NET身份验证和基于角色的授权。
现在,我也在同一个ASP.NET核心3.1应用程序中实现了一些API控制器
[ApiController]
public class ConnectController : ControllerBase {...
我意识到,承载令牌端点不是开箱即用的,所以我成功地使用OpenIddict实现了它,并且它工作得很好。
我想在角色中使用授权属性。
这是行之有效的:
[HttpGet]
[Authorize(Roles = "test01",
Authenti
浏览 5提问于2020-10-14得票数 2
我对Web比较陌生,我需要您关于以下情况的建议:几个月前,我参加了一个包含ASP.NET 5前端的web项目,使用来自ASP.NET Web 2接口的服务。数据库是server,在访问数据时有几个角色,所以我们使用了基于令牌的自定义。最近,我被指派开发一个web界面,它将显示大量图表和报告,并将来自不同数据源的数据进行聚合。我正在考虑使用与上一个项目相同的基础结构和框架,但我确信使用的授权类型。大多数视图都可以通过https公开访问,但是我们预计会有一些管理视图,这当然需要适当的身份验证。我不完全确定这里的最佳模式是什么--分别为公共视图和管理视图组合基本/令牌身份验证,或者应用基于令牌的方法
浏览 4提问于2019-09-23得票数 1
回答已采纳
1回答
在C# Web API项目中,我需要定义和检查粒度权限,例如"CanEditOrder“/ "CanViewOrder”等。目前我使用的是声明授权,所以如果我想保持在ASP.NET标准中,我需要将这些权限设置为“迷你角色”,以便通过ApiController上的Authorize属性检查它们。
这真的是处理粒度权限的推荐最佳实践吗?或者声明授权是否提供了另一种(更轻量级的)方法来设置和检查粒度权限,而不是更一般的“角色”?
浏览 1提问于2017-06-15得票数 4
1回答
我正在创建一个web应用程序,它将满足用户的两个需求。注意:我是AngularJS网站开发平台的新手。
前端- 1:它是一种搜索功能,用户可以根据关键字搜索和筛选来搜索特定的文档和研究。这是使用MySQL实现的,用于获取数据并使用AngularJS进行显示。
前端- 2:用户可以选择在web应用程序上创建一个帐户。账户的目的是:
保存他们的搜索查询。
如果管理员将每个用户与特定角色关联起来,那么这些用户将获得额外的选项,例如修改数据库中的文档以及上载新文档和其他页面主机。
我的问题是:
如何在AngularJS中处理基于角色的授权?我无法理解如何创建一个框架,其中涉及以下功能:
浏览 6提问于2015-10-27得票数 7
回答已采纳
1回答
因此,我们要开发我们的SSO,它将用于多个web应用程序的身份验证,这样用户在登录这些应用程序时就可以使用一个帐户。
我们讨论了是否应该在SSO中包含授权,或者每个应用程序应该分别存储授权(角色/权限)。
这里有一些品脱要考虑的问题:
应用程序之间不共享授权,每个应用程序都有不同的角色和权限集,因此,如果我们要在SSO中存储角色,则必须按照每个authorization?来存储用户角色/权限,我们需要设置API端点来获取这些数据,或者将它们同步到它认为是正的或负的,以获得集中式authorization?
浏览 1提问于2020-05-25得票数 2
1回答
我正在尝试设置一个基于json web令牌的api身份验证,它将用于api中的各种基于角色的授权。
我是否可以将角色值作为有效负载保留在令牌中?安全吗?如果不是,什么是保存角色,如管理员或用户或商家等成功登录后?
浏览 6提问于2018-01-12得票数 0
回答已采纳
我知道wso2is中的用户和角色用于管理carbon控制台,如何使用角色和权限在我的web应用中使用,例如,定义角色和权限以及使用xacml应用策略?
浏览 23提问于2020-01-31得票数 1
回答已采纳
我试图用Windows 2来保护asp.net web-API2.0,我必须在基于角色的授权和基于声明的授权之间做出选择。作为实践,我在DbInitializer中添加了一个用户,并为他分配了两个角色(Admin和Manager)。当我与该用户登录时,我看到ClaimsPrincipal处于调试模式,它已经将这些角色(Admin和Manager)作为声明相关联。以下是一些问题:
如果角色也被视为索赔,那么b/w角色和索赔之间的区别是什么?
如果我远离角色,我如何使用声明来保护web控制器和相关的操作方法。比如,我有一个订单控制器,其中包含CRUD方法。我希望有一个用户(比如一个
浏览 3提问于2014-12-17得票数 6
回答已采纳
我想收到关于我正在尝试构建一个asp.net web应用程序的方式的评论,该应用程序使用托管在另一个asp.net应用程序中的web服务。这两个应用程序将位于同一台计算机上,但无法从外部访问具有WCF服务的应用程序。将有两个web服务器在负载均衡器后面共享负载。
这两个应用程序的应用程序池将使用相同的本地用户帐户(web服务器不是域的一部分),因此我在考虑使用具有windows安全性的WsHttpBinding来实现客户端和内部wcf服务之间的通信。
前端asp.net应用程序通过自定义成员/角色提供程序使用表单身份验证来对用户进行身份验证和授权。用户数据库位于sql server数据库中。
浏览 2提问于2010-07-06得票数 1
回答已采纳
我们正在构建ASP.NET MVC核心web应用程序,并通过ASP.NET核心Web API访问数据。
我们必须对MVC Core和Web API Core端进行身份验证和授权。
如果用户在MVC核心web应用程序中进行了身份验证,则在访问web API核心上的数据时,不应再次进行身份验证。如果用户直接访问web API,则不应允许和要求身份验证。
我们还希望通过谷歌进行身份验证。
浏览 15提问于2016-09-08得票数 1
我有一个问题,我真的觉得我应该有一个简单的答案,但由于这样或那样的原因,我无法完全绕过它。
我正在着手开发一个ASP.NET MVC3 intranet应用程序,目前正在设计身份验证和授权。在我们的环境中,我们被迫使用基本身份验证,而我们使用的是Active Directory,因此授权部分通常会得到处理。不幸的是,我们在active directory中的角色/用户层次结构不能反映我对应用程序中角色的需求,因此我必须定义我自己的角色。
我使用的是SQL Server,所以我最初的想法是对所有DML使用存储过程,然后在SQL Server中创建角色并在角色中添加用户,然后通过这些角色控制对存储
浏览 0提问于2011-09-24得票数 2
回答已采纳
我正在开发一个使用相同rest的android + web应用程序,它是我使用asp.net核心和实体框架构建的。
它的工作方式如下:
用户与google登录到应用程序api检查其角色api请求由rest库完成(例如,在android中进行改造)。
到目前为止还不错..。当我寻找一种授权api的方法时,问题就开始了。
我想要(其中之一)以下内容:
没有web / android应用程序用户就无法访问api,用户不能访问他未被授权进行的api调用(比如创建与其无关的实体(例如,店主只能进行与其商店相关的api调用)。
提前谢谢。
浏览 2提问于2020-05-25得票数 0
我正在创建一些应用程序页面,这些页面只能由一个AD组查看,其他所有人都应该被拒绝访问。我是否可以像在ASP.NET WebForms应用程序中那样,通过为特定应用程序插入一个web.config来使用角色授权?如果不是,那么处理安全性的最佳方式是什么?
谢谢。
浏览 0提问于2011-03-20得票数 0
回答已采纳
2回答
我有一个Web项目和一个ASP.NET Api项目(独立的项目)。对数据库的访问完全通过Web Api实现(包括授权和认证)。Web是一个客户端,ASP.NET Api是一个服务器。
那么,如何在ASP.NET MVC项目中(在客户端)正确实现授权和身份验证呢?我读了很多关于Web是如何实现的(通过令牌),但是我不能理解如何在ASP.NET MVC中正确地使用这个令牌。
实现每个请求的wrap?我也不知道如何在ASP.NET MVC中定义用户角色。也许有一些方法可以重写Web授权的标准方法来使用Web令牌?ASP.NET MVC客户端上的Authorize属性可以工作吗?如果可能,请提供这样一
浏览 3提问于2018-05-27得票数 2
好吧,情况就是这样。
我们已经有一个现有的ASP.NET MVC 5站点,具有自定义表单身份验证、登录、注册等功能,并且已经实现了角色和配置文件的自定义数据库。
我们现在正在向MVC站点添加一些新功能,我们决定使用Web 2 OData 3端点,它位于另一个域中。Web目前不包括任何身份验证,但我们需要能够将请求映射到某个用户,以便从后端获取他的角色等。MVC和API站点使用相同的后端。
我们想要完成的是,当用户登录MVC站点时,MVC站点使用用户的凭据调用Web Api服务器到服务器,并接收一个令牌,然后客户端可以用它来调用web服务。
当API接收到带有令牌的请求时,它可以将请求映射到后端
浏览 0提问于2013-12-05得票数 2
回答已采纳
3回答
因此,我们的组织正在使用asp.net mvc和web api开发一些新的web应用程序。我们决定不使用active directory进行身份验证/授权,因此看起来使用实体框架的asp.net身份可能会起作用。
查看数据库模式,我没有看到applications表,所以我们可以有一个用于用户凭证和应用程序访问的中央存储库。这是索赔的用武之地吗?user ->应用程序->角色->权限
此外,我们的目标之一也是为用户提供单点登录。使用新的持有者令牌可能吗?
感谢您所能提供的任何帮助
浏览 0提问于2015-04-02得票数 9
回答已采纳
在为我的Web (服务)- MVC (客户端)体系结构项目实现身份验证/授权场景时,我很难决定一种方法。尽管我已经在Web项目中实现了基于自定义令牌的身份验证,但我发现很难(在客户端或API本身)实现授权。
体系结构概述:
项目解决方案-
|
基于__ ASP.NET Web的REST服务(独立托管在IIS /C1上)
|
基于__ ASP.NET MVC的客户端(独立托管在IIS上的M/C2消费REST服务)
|
__智能手机客户端应用程序(使用REST服务)
已经实现的身份验证:
Web中基于令牌的身份验证(使用Message )--它为经过身份验证的用户生成SHA1外壳
浏览 4提问于2013-10-29得票数 8
回答已采纳
asp.net有没有比默认的ASP.net成员身份更简单、更容易实现的安全性/授权/角色?
浏览 0提问于2010-06-24得票数 2
回答已采纳
1回答
需要开发一个Web应用程序,该应用程序将用于验证和授权内部和外部用户登录,然后重新路由到组织的web应用程序。登录应用程序应该能够提供与任何需要安全身份验证的未来应用程序的平滑集成。
我应该使用基于WIF声明的身份/ADFS或asp.net角色成员资格提供程序来开发此应用程序。?或者,是否有其他方法可以帮助实现这一点?
浏览 2提问于2010-03-26得票数 1
1回答
我在一个.NET项目中工作,其中我有一个带有REST架构的web服务(ASP.NET项目)。用户可以在IIS的帮助下对这些URL调用三个函数:
127.0.0.1:8080/api/function1/
127.0.0.1:8080/api/function2/
127.0.0.1:8080/api/function3/
web服务包含这些函数控制器。
我被要求将这些函数转换为SOAP版本。我对web编程知之甚少,我不知道该怎么做,也不知道从哪里开始。你有什么线索吗?
Thx
浏览 2提问于2013-12-31得票数 0
1回答
我正在用ASP.NET Framework4.0和C#开发一个Web应用程序。
我有这个:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Web.Http;
namespace MyProject.Web.Api.Controllers
{
public class UserADController : ApiController
{
[HttpGet]
浏览 2提问于2015-04-29得票数 3
回答已采纳
在ASP.NEt MVC4应用程序中,需要创建Json以服务可以使用urls表示的请求,如:
http://localhost:52216/erp/api/customers返回所有客户
同样包含“软”的客户的http://localhost:52216/erp/api/customers?term=soft返回列表。用于自动完成。
这些请求的结果必须是包含单个属性的json对象,包含找到的客户数组的客户。
对http://localhost:52216/erp/api/customers的post请求应该添加新客户,在请求体中指定为json
该方法的结果必须是包含
浏览 4提问于2013-11-24得票数 1
回答已采纳
我有一个web应用程序的前端是reactjs和后端是asp.net core,我想允许访问基于用户角色的页面。 我已经在react中实现了授权,但为了安全起见,我需要在服务器端执行授权。 我尝试过[Authorize(Roles = "Administrator")],但这不起作用,因为我为不同的角色重用了控制器(对所有用户都是通用的),而且我没有返回视图,因为我正在使用react,所以我需要帮助来实现asp.net core上的授权部分(基于角色)
浏览 23提问于2019-06-07得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
云直播
对象存储活动推荐
腾讯云开发者
