对基于自定义声明的身份验证使用Authorize属性
基于自定义声明的身份验证是一种身份验证机制,它允许开发人员在应用程序中定义自己的声明,并使用这些声明来控制用户对资源的访问权限。这种身份验证机制通常与ASP.NET身份验证框架一起使用,其中Authorize属性用于标记需要进行身份验证的控制器或操作方法。
通过使用Authorize属性,开发人员可以轻松地将身份验证逻辑应用于他们的应用程序中的特定部分。当用户尝试访问被Authorize属性标记的资源时,系统会检查用户的身份验证状态。如果用户已通过身份验证,则允许访问资源;否则,用户将被重定向到登录页面或返回未经授权的错误。
基于自定义声明的身份验证具有以下优势:
- 灵活性:开发人员可以根据应用程序的需求定义自己的声明,并根据这些声明来控制用户的访问权限。
- 定制性:通过自定义声明,开发人员可以根据用户的角色、权限或其他属性来限制对资源的访问。
- 安全性:基于自定义声明的身份验证可以提供更细粒度的访问控制,从而增强应用程序的安全性。
基于自定义声明的身份验证适用于许多应用场景,包括但不限于:
- 多租户应用程序:通过使用自定义声明,可以根据用户所属的租户来限制对资源的访问。
- 角色基础的访问控制:通过自定义声明,可以根据用户的角色来限制对资源的访问。
- 权限管理:通过自定义声明,可以根据用户的权限来限制对资源的访问。
腾讯云提供了一系列与身份验证相关的产品和服务,包括但不限于:
- 腾讯云访问管理(CAM):CAM是一种身份和访问管理服务,可帮助用户管理腾讯云资源的访问权限。 链接:https://cloud.tencent.com/product/cam
请注意,以上答案仅供参考,具体的实施和推荐产品应根据实际需求和情况进行评估和选择。
相关·内容
短版本:,我想应用一个IAuthorizationRequirement,但只适用于特定用户。或者找个不同的方法来解决我的问题。
长篇版本:
我有一个有角度的SPA应用程序,它为CRUD和业务逻辑在幕后使用了一个Asp.Net 5.0API。我的问题是API的身份验证和授权。
两种JwtBearer认证方案
我有一个遗留的要求,即使用共享秘密(即授权头中的Bearer + JWT (用秘密签名))对同一个API (非人类)客户端进行身份验证和授权。因此,应用程序可以与其他应用程序共享其数据。
我们最近增加了使用OAuth2/PKCE对UI用户进行第三方身份验证的能力(它以前是一种定制的DB身份
浏览 5提问于2022-03-17得票数 0
回答已采纳
2回答
如何在整个控制器上启用身份验证,并仅对某些操作方法禁用。我希望对所有资源进行身份验证。如果我这样写:
[Authorize]
public class HomeController : BaseController
{
//This is public
[UnAuthorized]
public ActionResult Index()
{
ViewData["Message"] = "Welcome to ASP.NET MVC!";
return View();
}
//This
浏览 1提问于2010-04-01得票数 2
回答已采纳
我正在学习.NET核心MVC中的身份验证/授权。
我正在尝试创建一个只能由'Admin‘访问的控制器,但是得到以下错误。
处理请求时发生了未处理的异常。
InvalidOperationException:没有找到名为‘AuthorizationPolicy’的AuthorizationPolicy。
这是我的密码。我该怎么办?
[HttpGet("~/Test")]
[Authorize("Admin")]
public async Task<string> MyMethod()
{
return await Task<
浏览 7提问于2016-11-10得票数 22
回答已采纳
2回答
在我们基于MVC3的内联网应用程序中,一个AD用户可能属于多个角色,在登录过程中,他们将选择他们想要登录的角色。我们目前使用以下方法对用户进行身份验证:
一旦用户通过身份验证并发现属于他们尝试登录的角色,我们将根据他们的角色授予对特定控制器和操作的访问权限。我们更喜欢使用MVC的Authorize属性。
既然我们没有使用任何提供者进行身份验证,我们还能以某种方式使用Authorize属性来限制访问吗?
谢谢!巴拉
浏览 0提问于2011-11-16得票数 0
回答已采纳
3回答
[HttpPost]
public ActionResult Login(UserVM userVM)
{
if (ModelState.IsValid || userVM.CheckWindowsAuth)
{
_userLF.UserName = userVM.UserName;
_userLF.Password = userVM.Password;
if (_userLF.AuthenticateUser(_userLF
浏览 1提问于2015-04-21得票数 1
1回答
我有一个具有Authorize属性的操作的ASP.NET核心API。
此API与经过Firebase身份验证的Ionic应用程序通信。当我登录到客户端应用程序时,我会得到一个授权令牌,并在每次端点调用时将其发送到API。
API获取此令牌,然后使用Firebase进行验证。现在我有一个布尔值告诉我这个请求是否通过了身份验证。
有没有办法在不从操作中删除Authorize属性的情况下通知控制器应该处理此调用?
浏览 0提问于2016-12-13得票数 3
我想知道[Authorize]属性是如何识别用户身份验证的?
如果用户是有效的,那么我们调用FormsAuthentication.SetAuthCookie()方法,并且按照MSDN这个方法:
为提供的用户名创建身份验证票证,并将其添加到响应的cookie集合中,如果使用的是无cookies身份验证,则添加到URL。
授权属性检查是身份验证票还是cookie集合?
浏览 0提问于2018-05-16得票数 1
回答已采纳
我正在开发一个.NET MVC应用程序,目前只使用基于角色的访问控制。例如,我正在用[Authorize(Roles="Provider")]包装我的控制器端点。现在,我还想添加对资源的添加权限,例如,不仅要说明用户是否可以编辑文档,还要定义用户可以编辑哪些文档。所以我希望它看起来像- [Authorize(Roles="Provider")] [Authorize("CanEditObject1")]
这样做的最佳实践是什么?这里需要什么类型的授权?也许我需要混合一些(基于角色的访问+基于策略的访问)?我是需要更改整个身份验证方法,还是只需在上
浏览 0提问于2019-01-29得票数 1
我有一个Windows 4站点,它使用ASP.NET身份验证来限制用户访问。在控制器上应用[Authorize(Roles = "Administrators")]。
该站点正在我的本地计算机上从IIS运行。当访问站点(也是从本地计算机访问)时,访问将被拒绝,即使我的用户帐户是管理员组的成员。
我试着指定"BUILTIN\Administrators“,如本文中所建议的:,但没有成功。
如果我创建一个像"TestGroup“这样的新组,将我的用户帐户分配给这个组,并在我的控制器上使用[Authorize(Roles = "TestGroup")]
浏览 0提问于2014-08-20得票数 3
回答已采纳
假设我有一个易趣类型的应用程序,其中只有卖家可以编辑他/她的物品。如何根据我们正在编辑的项目的Id和当前登录的用户限制对Edit操作的访问?
据我所知,Authorize属性只允许您根据用户是否经过身份验证及其角色来限制对控制器操作的访问。这仅仅是我需要在控制器中手动处理的事情吗?
浏览 3提问于2008-10-18得票数 1
1回答
我使用的是.net Core2.1WebAPI。我正在使用基于动作的身份验证。因此,我添加了如下所示的每个方法[Authorize(Policy = ".....")]。但是,我不想每次都写。我希望自动从方法名称中获取策略名称。我怎样才能做到这一点?
namespace University.API.Controllers
{
[Route("api/[controller]")]
[ApiController]
public class UniversityController : ControllerBase
{
浏览 0提问于2018-11-05得票数 7
回答已采纳
1回答
好的,我有一个用于/token请求的WebAPI身份验证服务,并将持有者令牌返回给客户端,我已经向属性添加了一个AppId和API键,这样我就可以
{
"access_token": "...",
"token_type": "bearer",
"expires_in": 86399,
"dm:appid": "1",
"dm:apikey": "...",
".issued": "Wed, 01 Jul 2015 20:46:
浏览 2提问于2015-07-02得票数 5
我在我的MVC应用程序上使用了全局授权过滤器,以确保用户在访问我的应用程序之前进行了身份验证,但我想更进一步。我有三个AD组,用户可能是它们的成员,我希望全局筛选器也检查这三个组中的一个。
我不想向应用程序中的每个控制器添加三个authorize属性。如何编写包含角色授权的全局筛选器?
谢谢!
浏览 1提问于2011-10-14得票数 0
有没有一种方法可以使Authorize属性在具有Authorize属性的控制器类中的一个操作中被忽略?
[Authorize]
public class MyController : Controller
{
[Authorize(Users="?")]//I tried to do that and with "*", but unsuccessfuly,
public ActionResult PublicMethod()
{
浏览 2提问于2011-08-19得票数 10
回答已采纳
我有一个JWT身份验证的简单示例,您可以找到它
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
如您所见,我已经将JwtBearerDefaults.AuthenticationScheme添加到Authentication内部的Startup/ConfigureServices方法中,因此我应该能够使用[Authorize] 独立,如下所示
[Authorize]
public sealed class WeatherForecastContr
浏览 7提问于2021-04-04得票数 4
回答已采纳
我正在学习Azure移动应用程序在Azure应用服务中的可能性,并有几个关于认证(和授权)的问题。我使用Azure 来学习可用的功能。
第一个问题:我是否正确地理解到,我不能使用文章中的“如何:为您的应用程序使用自定义身份验证”一节中描述的实现自定义身份验证,因为我想使用内置的Azure身份验证提供程序(用于与Facebook、Google等的身份验证)?当涉及到安全性时,我更喜欢配置和使用内置功能而不是自定义开发;)
第二个问题:我目前正在尝试将一些自定义声明(例如,基于用户的SID从Azure数据库中读取的角色声明)添加到在Mobile中成功注册和身份验证的用户。实现这一目标的最佳方法是什
浏览 5提问于2016-04-23得票数 1
回答已采纳
我目前对我的ASP.NET MVC应用程序使用默认的表单身份验证方法。
在所有需要身份验证的操作方法中,我有以下属性
[Authorize()]
当有人试图调用该操作方法“服务”的页面,但他们还没有登录时,它会将他们发送到登录page...perfect!但是,如果他们的会话超时,并且他们试图访问该页面,他们也会被重定向到登录页面,而不会说明原因。我希望能够确定这是新的访问,还是超时,并相应地在登录屏幕上显示不同的消息。
这有可能吗?
浏览 2提问于2011-11-22得票数 4
回答已采纳
我在从变量设置Authorize属性角色值时遇到问题。错误消息说它需要一个常量变量。当我创建一个const类型变量时,它工作得很好,但我试图从Web.Config文件或其他允许最终用户设置的文件中加载值。我使用集成的Windows身份验证,因为这是一个仅限intranet的应用程序。
有没有办法从控制器检查用户角色?我将在if语句中使用它来进行身份验证,而不是属性。
[Authorize(Roles = Config.GMPUser)]
public ActionResult Index()
{
return View();
}
浏览 2提问于2008-12-18得票数 15
回答已采纳
我在带有角色管理员的数据库中有"mydomain\myusername“。我用不同的配置运行了几个测试。带有"+“的注释被赋予访问权,而"-”则需要登录。如果用户是自己授权的,那么它似乎就被授予了访问权。但是,当一个角色被添加时,这个角色就占据了优先权,它甚至不考虑单个用户。
当指定角色时,如何使它在考虑单个用户或多个用户的情况下工作?我使用的是自定义的DefaultAuthorize和OverrideAuthorize,这样控制器和操作权限就不会一起使用,但是它不会导致忽略用户而忽略角色的行为。该行为似乎是身份验证的默认行为。
编辑:我刚刚对它进行了更多的测试,上面的
浏览 6提问于2015-05-10得票数 4
1回答
假设我有WebApi控制器
[Authorize]
public class SomeApiController : ApiController
控制器操作方法本身没有任何[Authorize]或[AllowAnonymous]属性。
如果用户没有角色,我希望Authorize属性返回401 (未授权)错误--这看起来很合理(如果用户有角色,但现在没有角色-即使用户已经通过身份验证,也不应该允许他执行操作)。我已经查看了Authorize mvc webstack,我在asp.net属性中找到了以下代码:
if (_rolesSplit.Length > 0 && !_r
浏览 2提问于2013-11-19得票数 0
1回答
我已经将我的web配置为使用windows身份验证。我的目标基本上是基于用户窗口帐户限制控制器中的某些操作。有些可以预编格式读取操作,而另一些则可以预编写到底层数据库的操作。我已经找到了大量关于如何建立基于索赔的授权的文档,我认为这是我需要走的路。我没有发现的是如何设置这个与windows auth。我想我错过了一个中间步骤,比如将windows auth注册为身份提供者?
startup.cs
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
services.Ad
浏览 2提问于2018-11-28得票数 10
我有一个MVC3应用程序,用户需要通过身份验证才能访问该网站。我登录了,屏幕上显示了数据,然后我离开了。我一个小时后回来,现在用户已经自动注销了。但是当我点击一个按钮来获取数据时,没有重新登录,我得到了死亡的黄色屏幕,因为我的对象是空的。这是我的操作:
[Authorize]
public ActionResult Index(string id)
我以为Authorize属性确保不执行此操作,除非它们经过身份验证,但显然它没有,或者我没有正确地使用它。那么,如何使用Authorize或任何其他属性来确保用户始终通过身份验证,如果用户没有通过身份验证,则将其带到登录屏幕?谢谢
附注
浏览 0提问于2012-05-31得票数 0
回答已采纳
多重身份验证筛选器的预期语义是什么?这是允许的吗?如果是这样,它们是如何协同工作的呢?
下面是一个具体的例子。假设我有一个控制器类,比如
[BasicAuthenticator]
[LocalAuthenticator]
[Authorize]
public class TestController : ApiController
{
[AllowAnonymous]
public IHttpActionResult GetProduct(int id)
{
}
// etc. etc
}
其中BasicAuthenticator和LocalAuthe
浏览 0提问于2015-01-29得票数 5
2回答
大家好,我有一个MVC操作,上面设置了Authorize属性。对于这些操作中的每个操作,都有一个密码/安全pin,该密码/安全pin仅对该操作有效。
public ActionResult Action_1()// generic pin 1
{
Return RedirectToAction("PinCheck", new { returnUrl = "Action_1" });
...
}
[Authorize]
public ActionResult Action_2()// generic pin 2
{
...
}
[Authorize]
publi
浏览 1提问于2014-03-18得票数 0
我想知道[Authorize]属性和AuthorizePage(string)方法在ASP.NET内核中是否有什么不同?项目使用ASP.NET Core3.1。使用这种方法有什么好处或缺点吗?
正如我所知,下面的两个代码是相同的:
使用 [Authorize] 属性
// ...
namespace MyApp.Account.Manage
{
[Authorize]
public partial class IndexModel : PageModel
{
// ...
在 Startup.ConfigureServices中使用 AuthorizePage(stri
浏览 2提问于2020-08-26得票数 0
回答已采纳
我有一个控制器,我想默认情况下要求所有操作的授权,除了几个。因此,在下面的示例中,除Index之外的所有操作都应该需要身份验证。我不想用Authorize来装饰每个操作,我只想在某些情况下用一个自定义的过滤器覆盖默认的授权,比如NotAuthorize。
[Authorize]
public class HomeController : BaseController
{
[NotAuthorize]
public ActionResult Index()
{
// This one wont
return View();
}
浏览 2提问于2009-04-23得票数 30
回答已采纳
1回答
MVC Azure AD授权角色
、、、、
我在MVC中使用[Authorize]属性有问题。
以下是所采取的步骤:
创建名为TestAD1的Azure Active
在AD中插入服务器用户
创建一个名为TestGroup1的组
使用visual 2013创建一个以Windows Authentication为身份验证方法的MVC项目
在控制器方法的上方插入[Authorize]
发布网站
在azure门户中,将网站配置为使用azure活动目录作为身份验证。
这些步骤运行良好,所有操作都与预期的类似--当我将授权属性更改为:
[Authorize(Roles=@"TestAD1\TestGro
浏览 0提问于2015-01-09得票数 1
我有一个MVC 3应用程序,我正试图与Azure托管的ACS身份提供者集成。我一直在学习教程,但在使用ASP.NET MVC时,它们似乎并不适合我。
本质上,当我使用标记时,用户会被重定向到带有身份提供者列表的Azure托管的登录页面。我选择一个提供者(在本例中是Live)并登录。在这一点上,这一切都像我预期的那样起作用。在我成功地进行身份验证之后,看起来(视觉上)我不是,而是被重定向回我的应用程序,而是返回到身份提供者页面。在Fiddler中看到这一点时,它看起来确实返回了,但随后又重新开始循环(HTTP状态代码302)。
有人能解释一下是什么原因造成的吗?
在Azure门户中,我为我的依赖
浏览 0提问于2012-07-01得票数 0
1回答
在尝试使用两个不同的GET方法时,我遇到了问题,一个用于检索多个资源,另一个用于检索特定的资源。
Startup.cs
config.Routes.MapHttpRoute("DefaultAPI",
"api/{controller}/{action}",
new { id = RouteParameter.Optional });
Controller.cs
[RoutePrefix("api/Files")]
public class FileController : ApiControl
浏览 2提问于2016-04-10得票数 1
回答已采纳
我有一个用户数据库,用户可以有不同的角色。
我希望为我的MVC Web API实现基本的身份验证,我希望能够使用Authorize标记标记方法,并将userType作为参数传递。
[Authorize(admin)]
public bool Test()
{
}
[Authorize(user)]
public bool Test1()
{
}
我不知道如何创建此属性,例如,如何创建一个简单地使方法始终返回false的属性
[AttributeUsage(AttributeTargets.All)]
public class TestAttribute: System.Attribute
浏览 2提问于2016-04-29得票数 0
1回答
我想将通过IIS对MVC站点中的路由的访问限制为使用Windows身份验证的intranet站点。
我知道这可以通过控制器或操作上的Authorize属性来完成,但我更喜欢使用IIS 7.5的Authorization Rules功能,以便GUI (inet管理器)为管理员提供在特定基础上授予/限制访问的能力。这个是可能的吗?
例如,在默认的路由配置中,无需向AdminController类或AdminController的索引操作添加Authorize属性,而只能通过IIS Manager post部署来锁定 (使用Windows Authentication进行身份验证)。
浏览 3提问于2011-10-27得票数 2
回答已采纳
1回答
当application.yml中存在属性时,我希望使用基本身份验证。当他们失踪的时候,我希望所有的请求都被允许。
application.yml
spring:
security:
user:
name: user
password: changeit
Auth组态
@Configuration
@EnableWebSecurity
public class BasicAuthConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
浏览 5提问于2022-07-07得票数 0
回答已采纳
2回答
我遵循下面的教程链接。
我试图了解它是如何工作的,我想使用此令牌使用基于角色的身份验证。因此,我在Startup.cs文件中制定了另一个策略,如下所示。
我试图在控制器中像[Authorize(Policy = "admin")]或[Authorize(Policy = "ApiUser")]一样使用它,但是每次我尝试使用postman时,都会让unauthenticated使用它。我遗漏了什么?如何基于本教程进行基于角色的身份验证?
启动
services.AddAuthorization(options =>
{
options.AddPol
浏览 7提问于2020-04-23得票数 0
回答已采纳
1回答
我的ASP.NET MVC站点需要对某些资源(下载、论坛等)进行基于表单的身份验证。这与[Authorize]属性配合使用非常有效。
但是,我需要我的管理站点(`~/Areas/ admin /*)对active directory进行身份验证。
使用常规的ASP.NET或经典的ASP,我只需进入IIS配置并更改目录安全性以拒绝匿名用户。然而,我不能想出一种方法来实现这一点。
我知道将[authorize]属性放在我的管理区域中的控制器上需要登录,但它将使用与站点公共区域相同的基于表单的授权。现在,这将根据数据库对用户进行身份验证(不使用ASP.NET会员系统,因为它对我的应用程序来说太过分了
浏览 1提问于2010-10-14得票数 2
回答已采纳
我目前正在构建一个ASP.NET MVC5Web博客EF6应用程序。
我有两个数据库和上下文:
我的应用程序的实际数据(博客文章、博客类别、标签等)的-a数据库。
用于身份验证和成员资格目的(用户和角色)的-a数据库。
我能够使用BlogPostcontroller : authorize (Roles=“Administrator,Author”)中的authorize属性授予给定用户添加/编辑/删除博客帖子的权限,而且效果很好。
我的目标是:假设我想要授予用户添加/编辑/删除所有博客帖子或博客类别的子集的权限(假设只允许“烹饪”和“旅行”博客类别)。
我开始考虑在用户和博客类别实体之间创建
浏览 1提问于2014-04-09得票数 0
1回答
我需要提供不同语言的自定义“未授权”消息,而不是默认的“此请求的授权已被拒绝”。我使用Owin作为ApiControllers/方法的身份验证和Authorize属性。我知道这可以通过一个自定义的自动过滤来完成,但是仅仅改变发送给客户端的消息似乎是一种过分夸张的情况。
有没有更简单的方法来更改邮件,或者我应该坚持使用自定义的授权过滤器?
谢谢
浏览 11提问于2017-02-22得票数 3
回答已采纳
我正在尝试在我的项目中实现继承system.web.http.authorizeAttribute的自定义authorize属性,我有一个WebAPIMVC4模板和一个带有windows身份验证的mvc4 internet应用程序模板作为客户端。我在web api控制器中有一些方法,我试图使发送请求的身份验证用户无法访问这些方法,如果他点击具有自定义属性的按钮,则应返回401。此外,如果他未经过身份验证,则客户端不应该看到未授权查看的内容
请帮我举一些代码示例!
浏览 0提问于2013-02-15得票数 0
回答已采纳
1回答
我有一个具有Authorize属性的控制器:
public CustomerController:Controller
{
[Authorize]
public ActionResult GetCustomer(int id)
{
var model=db.Customers.where(c=>c.id==id);
return View(model);
}
}
我的问题是,如何测试具有Authorize属性的控制器?
在测试之前,我们是否需要从HttpContext获取用户名和密码等用户信息
模拟、依
浏览 3提问于2011-10-06得票数 1
我正在使用ASP.NET Core5.0并制作REST。我还使用JWT令牌进行身份验证。
[Authorize]
public class LoginController : Controller
我已经为JWT添加了授权/身份验证中间件。如果身份验证失败,如何让AuthorizeAttribute返回自定义值?目前,它这样做:
Authorize Good token: nothing
Authorize Bad token: Return status 401/403
但我希望它能这样做,返回200 OK,但在正文中使用JSON响应,因为需要与我的其他响应保持一致,并且对浏览器友好。
Au
浏览 6提问于2021-03-13得票数 2
回答已采纳
2回答
我是新来的,要求基于身份验证。我已经通过了几个圆木,并无法找到确切的使用索赔基础的认证。以下是我对基于索赔的身份验证的一些疑问。
我想知道,与基于角色的身份验证相比,基于请求的认证有什么不同和优势。
我们是否可以使用基于声明的身份验证来连接Server 2008 R2而不是ADFS?如果,那是怎么回事?
WCF中使用基于索赔的身份验证的优势?
有人能给我提供一些解释吗?这样我就可以理解基于声明的身份验证并在我的应用程序中使用?
浏览 9提问于2012-12-27得票数 13
回答已采纳
2回答
Asp.net MVC5似乎放弃了使用AuthorizeAttribute类,在该类中,您可以通过实现AuthorizeAttribute类来创建自定义authorize属性,覆盖它的方法并隐藏SiteRole属性,以防您想要在自己的角色中烘焙。我看到的所有示例都建议使用OWIN或identity框架。这是在新的ASP.Net框架中进行身份验证和授权的唯一两种方法吗?如果我用传统的方式去做,我会错过什么吗?我不想让框架为我创建所有的用户和角色表。如果我想要将现有的用户和角色表添加到新应用程序中,该怎么办?
到目前为止,我真的还没有看到在每个应用程序中都需要社交集成的需求,也不认为我会立即需要它
浏览 0提问于2014-01-02得票数 23
回答已采纳
2回答
我使用了来自System.Web.Http的"Authorize“ 基本控制器上的属性。 问题是我需要根据条件来使用它。 (假设我有一个不需要身份验证/授权的模式)。 我怎样才能实现它呢? 谢谢。
浏览 29提问于2019-02-24得票数 1
回答已采纳
我很难理解ASP.NET MVC中[Authorize]属性的真正用法。按照这个概念,如果我们用[Authorize]属性修饰一个控制器方法,那么只有经过身份验证的用户才能访问控制器。
我已经开发了一个不使用[Authorize]属性修饰控制器的ASP.NET MVC应用程序。我观察到的是,如果我使用web.config或其他方式在我的应用程序中正确地实现了身份验证机制,我就不可能访问特定操作方法的URL {controller}/{action}/{id}。
系统总是要求登录。这意味着我的控制器是安全的。我的问题是,当我可以在不使用[Authorize]属性的情况下保护我的控制器时,那么它的
浏览 1提问于2012-06-01得票数 66
2回答
因此,我只是在理解.NET核心授权属性时遇到了一点麻烦。
我有一个正在运行的身份验证服务(假设是authapi.com),当提供有效的身份验证详细信息时,它将返回一个JWT。当这个JWT返回给它时,它将验证该JWT并返回一条消息来指明这一点。
因此,我现在正在构建另一个WebAPI (比方说genericapi.com),它将需要对一些操作/控制器进行授权。其想法是,JWT将在请求的头部中传递给genericapi,然后需要将这些头部传递给authapi.com以验证它们。
我试着添加一个策略,但它变得非常复杂,而且我不得不在所有内容上都编写[Authorize(Policy="Tok
浏览 0提问于2016-06-30得票数 1
5回答
我正在VS2013 RC中使用MVC5和新的OWIN身份验证中间件来尝试一些新的东西。
因此,我习惯于使用[Authorize]属性来按角色限制操作,但我尝试使用基于声明/活动的授权,但我找不到相应的属性。
有一个明显的我错过了还是我需要自己的?我有点料到会有一个人从盒子里出来。
我特别想找的是一些类似于[Authorize("ClaimType","ClaimValue")]的东西。
提前谢谢。
浏览 8提问于2013-10-14得票数 80
回答已采纳
1回答
描述了如何使用[Authorize]属性将对控制器和操作的访问限制为经过身份验证或授权的用户。
身份验证是通过设置Thread.CurrentPrincipal来完成的,它允许访问受限的控制器/操作,前提是用户具有任何所需的角色。
在遵循此方法时,是否需要为每个请求设置Thread.CurrentPrincipal (例如,在消息处理程序中),或者Web API是否有某种方式在请求之间维护该主体?(据我所知,Web API是无状态的,没有会话,但我只是检查一下。)
此外,如果在会话之间不维护当前主体,那么与编写您自己的自定义访问控制方案相比,[Authorize]属性有什么优势呢?
浏览 1提问于2014-04-08得票数 0
1回答
我有一个应用程序,需要使用自定义数据库的角色授权。数据库是用一个引用tblRoles表的tblUsers表建立的。用户也已经被分配到他们的角色。
我还想在每个操作上使用[Authorize(Role = "RoleName")]属性,以检查是否向数据库中的"RoleName"分配了经过身份验证的用户。我很难弄清楚我需要在哪里修改[Authorize]属性,这样它才能以这种方式运行。我只是想看看一个用户名是否有一个角色,我不会有一个页面来管理数据库中的角色。
我已经尝试过实现,但看起来这不是我需要的,因为我不会管理应用程序中的角色,而且我不知道它对[Authori
浏览 9提问于2020-02-19得票数 0
我们正在启动一个新的ASP.NET核心网站,客户希望使用数据库处理授权。因此,他们希望配置自定义角色和要在数据库中配置的操作。
我一直在尝试寻找一个例子或一些东西来帮助我实现这一点,但找不到。这可以使用框架中的Authorize属性来实现吗?或者需要实现一个自定义过滤器?
编辑:我应该提一下,该应用程序是intranet,因此使用Windows身份验证进行身份验证
浏览 0提问于2018-02-28得票数 0
2回答
我继承了一个带有数据库的应用程序。该数据库有以下与身份验证和授权相关的表。
用户表
UserName
密码
UserTypeId
UserType表
UserTypeId
UserTypeDesc
User Type表存储用户的角色,例如Admin、Editor等。
如果我想像下面这样实现授权
[Authorize(Roles="Admin, Editor")]
public IHttpActionResult GetOrders()
{
//Code here
}
我应该在哪里以及应该编写什么代码,以便授权属性可以使
浏览 0提问于2016-03-23得票数 0
回答已采纳
我的一些控制器操作需要对用户进行身份验证。使用自定义[Authorize]属性标记这些操作。在场景后面,自定义成员资格提供程序执行一些魔术,其中将一些临时数据设置到公共线程中。
在每个需要身份验证的操作结束时,需要调用OnActionExecuted()过滤器来清除线程。这是通过另一个名为[CleanupContext]的自定义属性完成的。
所以我的行为是这样的:
[Authorize]
[CleanupContext]
public ViewResult Action()
{
...
}
因为这两者总是一起使用,因为我很懒,而且我担心有一天,一个开发人员可能会忘记放一个或另一个,最后我
浏览 0提问于2012-07-30得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
