ASP.NET Core MVC 从入门到精通之鉴权授权基础|今日最新

随着技术的发展，ASP.NET Core MVC也推出了好长时间，经过不断的版本更新迭代，已经越来越完善，本系列文章主要讲解ASP.NET Core MVC开发B/S系统过程中所涉及到的相关内容，适用于初学者，在校毕业生，或其他想从事ASP.NET Core MVC 系统开发的人员。

经过前几篇文章的讲解，初步了解ASP.NET Core MVC项目创建，启动运行，以及命名约定，创建控制器，视图，模型，接收参数，传递数据ViewData，ViewBag，路由，页面布局，wwwroot和客户端库，Razor语法，EnityFrameworkCore与数据库，HttpContext，Request，Response，Session，序列化，文件上传，自动映射，Html辅助标签，模型校验等内容，今天继续讲解ASP.NET Core MVC 中鉴权、授权基础等相关内容，仅供学习分享使用。

概述

在实际开发中，大部分的程序都是要进行身份验证，才能进行访问，没有身份验证的访问，那么安全性就得不到保证，很容易被加以利用和攻击。身份验证就等于在应用程序中，增加了一层防护网。示意图如下所示：

(资料图)

什么是鉴权，授权？

鉴权，又叫身份验证，确定用户身份的过程。

授权，确定用户是否有权访问资源的过程。

在 ASP.NET Core 中，身份验证由身份验证服务IAuthenticationService负责，而它供身份验证中间件使用。 身份验证服务会使用已注册的身份验证处理程序来完成与身份验证相关的操作。 与身份验证相关的操作示例包括：

• 对用户进行身份验证。
• 在未经身份验证的用户试图访问受限资源时作出响应。

已注册的身份验证处理程序及其配置选项被称为“方案”。身份验证负责提供ClaimsPrincipal进行授权，以针对其进行权限决策。

关于鉴权，授权，可以通过以下示例说明：

鉴权是一个承上启下的一个环节，上游它接受授权的输出，校验其真实性后，然后获取权限（permission），这个将会为下一步的权限控制做好准备。

鉴权授权基本步骤

在ASP.NET Core MVC程序中，要使用鉴权，授权功能，可参考以下步骤。

1. 添加鉴权服务

首先鉴权服务，本示例采用cookie的方式进行身份验证，Program.cs启动类中，添加鉴权服务，如下所示：

1 //添加鉴权服务 2 builder.Services.AddAuthentication(options => 3 { 4     options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme; 5  6 }).AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options => 7 { 8     options.LoginPath = "/Login/Index"; 9     options.LogoutPath = "/Login/Logout";10 });

注意，添加服务时，指定了默认的schema。以及在在没有授权时，需要跳转的登录的页面。

2. 添加鉴权，授权中间件

在Program.cs启动类中，添加身份验证和授权中间件，以便在客户端访问时进行验证。

1 //使用鉴权2 app.UseAuthentication();3 //使用授权4 app.UseAuthorization();

3. 添加Authorize权限控制

在需要进行权限控制的地方【如：Cotroller，Action ，Razor页面】，添加Authorize特性，如Home控制器，如下所示：

1 namespace DemoCoreMVC.Controllers 2 { 3     [Authorize] 4     public class HomeController : Controller 5     { 6         private readonly ILogger _logger; 7  8         public HomeController(ILogger logger) 9         {10             _logger = logger;11         }12 13         public IActionResult Index()14         {15             var username = HttpContext.Session.GetString("username");16             ViewBag.Username = username;17             return View();18         }19 20         public IActionResult Privacy()21         {22             return View();23         }24 25     }26 }

如此，添加Authorize特性后，在访问Home/Index首页时，如下没有鉴权，则会跳转到登录页面。

4. 鉴权

在用户登录后，通过HttpContext.SignInAsync进行鉴权，并设置ClaimsPrincipal。如下所示：

1 namespace DemoCoreMVC.Controllers 2 { 3     public class LoginController : Controller 4     { 5         public IActionResult Index() 6         { 7             return View(); 8         } 9 10         public async  Task Login()11         {12             var username = Request.Form["username"];13             var password = Request.Form["password"];14             if(username=="admin" && password == "abc123")15             {16                 HttpContext.Session.SetString("username", username);17             }18             var claimsIdentity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme);19             claimsIdentity.AddClaim(new Claim(ClaimTypes.Name,username));20             claimsIdentity.AddClaim(new Claim(ClaimTypes.Role,"Admin"));21             var claimPrincipal = new ClaimsPrincipal(claimsIdentity);22             await HttpContext.SignInAsync(claimPrincipal);23             return Redirect("/Home");24         }25 26         public async Task Logout()27         {28             await HttpContext.SignOutAsync();29             return Redirect("/Login");30         }31     }32 }

在示例中，设置了ClaimTypes为Name和Role两个内容，可以为后续授权使用。

5. 测试

在启动时，由于没有进行身份验证，所以默认Home/Index跳转到了Login页面，当输入密码登录后，即可进行正常跳转，如下所示：

且通过F12查看开发者工具，发现多了一个Cookie信息，这就是在后续访问的时候，都会带上作为凭证的验证信息。如下所示：

授权区分

在实际应用中，经常遇到有些功能是管理员权限才有，有些权限普通角色也可以查看。

则可以在Authorize特性中加以区分，[Authorize(Roles ="Admin,SuperAdmin")]。Authorize特性共有以几个属性可以设置：

1 namespace Microsoft.AspNetCore.Authorization 2 { 3     // 4     // 摘要: 5     //     Specifies that the class or method that this attribute is applied to requires 6     //     the specified authorization. 7     [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)] 8     public class AuthorizeAttribute : Attribute, IAuthorizeData 9     {10         //11         // 摘要:12         //     Initializes a new instance of the Microsoft.AspNetCore.Authorization.AuthorizeAttribute13         //     class.14         public AuthorizeAttribute();15         //16         // 摘要:17         //     Initializes a new instance of the Microsoft.AspNetCore.Authorization.AuthorizeAttribute18         //     class with the specified policy.19         //20         // 参数:21         //   policy:22         //     The name of the policy to require for authorization.23         public AuthorizeAttribute(string policy);24 25         //26         // 摘要:27         //     Gets or sets the policy name that determines access to the resource.28         public string? Policy { get; set; }29         //30         // 摘要:31         //     Gets or sets a comma delimited list of roles that are allowed to access the resource.32         public string? Roles { get; set; }33         //34         // 摘要:35         //     Gets or sets a comma delimited list of schemes from which user information is36         //     constructed.37         public string? AuthenticationSchemes { get; set; }38     }39 }

以上就是ASP.NET Core MVC 从入门到精通之鉴权授权基础的全部内容。

关键词：

• 

  ASP.NET Core MVC 从入门到精通之鉴权授权基础|今日最新

  经过前几篇文章的讲解，初步了解ASP NETCoreMVC项目创建，启动运行，以

  来源： 2023-06-14
• 

  再也不用担心变量类型错误！学会JS中如何轻松检查变量类型_世界快看

  在JavaScript编程中，了解如何精确地检查变量类型是至关重要的技能，而

  来源： 2023-06-14
• 

  武则天《升仙太子碑》 行草入碑敢为人先

  当我们现在提到武则天时，大部分人只知道她是中国历史上唯一的正统女皇

  来源： 2023-06-14
• 

  中国特供显卡炒到20多万 英伟达赚麻了：有公司抢购70亿元订单-即时焦点

  中国特供显卡炒到20多万英伟达赚麻了：有公司抢购70亿元订单

  来源： 2023-06-14

• ASP.NET Core MVC 从入门到精通之鉴权授权基础|今日最新

• 再也不用担心变量类型错误！学会JS中如何轻松检查变量类型_世界快看

• 武则天《升仙太子碑》 行草入碑敢为人先

• 中国特供显卡炒到20多万 英伟达赚麻了：有公司抢购70亿元订单-即时焦点

• 全球热头条丨大学期末划重点堪比发布会现场 学生举手机拍照 网友：很真实

• 科幻神作！三部《阿凡达》续集宣布推迟上映：第3部定档2025年

• 观天下！1152MB三级缓存天下无敌！AMD正式发布EPYC 9084X：96核心Zen4

• 突然！漫威多部新片宣布延期：《复仇者联盟5》《复仇者联盟6》再跳票1年_每日时讯

• 6月13日基金净值：信澳鑫安债券(LOF)最新净值1.009，跌0.1%

• 全球热点评！26岁零70天 Uzi成为LPL历史出场最年长的ADC选手

• 日本试运行核污染水排海设备 放射性物质将蔓延至全球海域

• 一男子挤痘后流血近1个小时 整个过程花费400抽面巾

• 梅西直播被吐槽上热搜前排 画面仅有一分钟引发大量网友不满

• 国产动漫《斗罗大陆2》即将开播 新史莱克七怪徐三石PV公布

• 埃兹拉·米勒出席《闪电侠》好莱坞活动 为官司缠身后的首次公开露面

• 云南金平县迎来蝴蝶集中羽化期 漫天飞舞犹如纷飞的落叶

• 辽宁一男子拔倒刺导致手指发炎感染 诊断为化脓性肉芽肿并缝了6针

• 为应对严重的黄牛倒卖问题 宝可梦社宣布新卡组将采用预购制

• 《碟中谍7》中国内地定档7月14日正式上映 汤姆·克鲁斯惊喜回归

• 海外最大论坛网站Reddit遭网友怒怼 或使第三方应用无法访问该服务

• MySql的MVCC机制

• .NET 使用ILPack组件将程序集保存成dll 世界球精选

• 蔚来全系降价3万！未必心甘情愿 但又无可奈何：被大众收购才是出路？

• 4990元起！雅迪冠能探索E10发布：2000W电机、极速62Km/h 最资讯

• 欠薪过亿！时隔两月 宝能汽车总部又被“堵门”_每日视讯

• 《守望2》新付费PVE让玩家不爽：暴雪你还有脸要钱呢？ 热头条

• 李想：并没把国内友商放在眼里 理想的目标是干BBA

• 现代C++学习指南-方向篇|焦点速读

• 文心一言 VS 讯飞星火 VS chatgpt （40）-- 算法导论5.4 4题|天天快播

• 天天快资讯：澳科大领衔的研究团队开发出新型人工智能医疗诊断模型

• M2 Ultra加持！苹果新款Mac Studio评测：5万元的恐怖生产力

• 当前速看：马斯克称人类已经是半机器人：大脑思维上传服务器可永生

• 世界热讯:Arm发布全新智能视觉参考设计 首次整合第三方IP核心

• “上四休三”的老板后悔了 有员工选择混：这制度对国人不适合？ 环球快消息

• 央行下调常备借贷便利利率

• MySQL索引

• OnceCell和OnceLock的介绍-每日时讯

• 公开反对电动汽车后：丰田低头了

• 云南金平迎来蝴蝶大爆发：近亿只集中羽化 犹如纷飞落叶-世界观焦点

• 支持电视端：爱奇艺白金会员年卡+京东PLUS会员年卡248元

• 世界观点：SK-II回应神仙水是否有核污染：符合国家标准

• 每日报道：12代及以上CPU性能更强了！Intel为Linux开发新调度补丁

• 张轩昊丨操作思路分享【6月13日】今日黄金原油操作建议，实盘交易干货分享！

• 焦点速看：用纯HTML，JS，CSS实现横向滚动标签页

• CSS常用属性

• 腾势N7盲订破2万台 增换购用户55%来自BBA等豪华品牌

• 世界短讯！特斯拉充电标准一天内被四家公司接受 网友：马始皇？

• 学习Win12好榜样？国产OS系统deepin成立AI社区：未来更智能_世界热头条

• 69元 小米车载充电器特惠开售：100W快充 配有炫彩灯效 时讯

• 环球热讯:历史性变革 大众汽车计划进行数十年来最大规模重组

• 年仅52岁！知名男演员在睡梦中去世... 今日热讯

• 国内第四大运营商 中国广电终于支持携号转网：但只入不出

• 刚考完科目一就买车上路 男子：想提前预习科目二、科目三

• 还说5G没用？全国5G平均下行速率348Mbps 比4G快6倍

• 环球视讯！被动散热靠谱么？博主实测15英寸MacBook Air性能表现

• 【新要闻】蔚来号召员工为车主献血 称“伙伴们都在积极报名”

• 焦点速讯：洛阳老城区：拆违治乱顺民意

• 【快播报】Collections类源码初探

• 天天微资讯！2023油价调整窗口时间表一览

• 马斯克 一统海外充电江湖！

• 新增自动拍摄功能：尼康Z9获4.00版本固件更新

• 90后小伙中1000万大奖 淡定回应先去上个班：不着急领

• 看热讯：阵容强大！长城汽车17位高管集体入驻微博：吉利副总裁盛赞

• 史低价！小米米家无线洗地机2开启618预售：仅1799元-当前视点

• 视点：过山车行情后，建筑钢材市场行情或易涨难跌

• 今日精选：Koordinator 最佳实践系列：精细化 CPU 编排

• 天天观察：Android RIL&IMS源码分析

• 天天即时：5款超级好用的开发效率工具，建议收藏！

• 世界观点：记录--为什么推荐用svg而不用icon?

• 油价小幅下调 加一箱油将少花2元 全球最资讯

• 惠誉博华：48家银行未赎回二级资本债券，合计达364.8亿元

• 恒生指数收涨0.6% 恒生科技指数大涨重回4000点上方

• 中海达（300177）6月13日主力资金净买入525.51万元_天天通讯

• PMR机械硬盘走到尽头了！西数/希捷正疯狂自救

• 6旬老人守株待兔式飞奔撞车碰瓷索赔 车主吓坏：监控还清白 环球精选

• 广东有多热？网友在广东买虾 还没到家就熟了 世界今日讯

• 美国再将31家中企列入“实体清单”！

• 2999元的国产显卡值不值得冲？实测3A大作给你答案

• 焦点信息:天津：“多卡合一”创新服务“城市小蜜蜂”

• 今日热文：线段树学习笔记

• 每日速看!尚医通-day10【微信扫码登录】（内附源码）

• linux iptables安全技术与防火墙_快播报

• 收评：创业板指涨0.68%收获三连阳 半导体行业涨幅靠前

• 全球快报:小米卢伟冰：小米13 Ultra在意法西德及香港地区正式开售 销售超预期

• 首发预装鸿蒙OS 4.0！华为Mate60 Pro概念图出炉 全球热资讯

• 天天精选！NASA决定造访遍地黄金的“灵神星”：平均每位美国人能分300亿美元

• 美系硬派SUV福特探险者谍照曝光！外观内饰全面升级 预计将在年内首次亮相_今日热讯

• 今日热搜：8GB显卡卖到3199元 显存成本曝光：英伟达实在太赚了

• 视点！男生抠掉脸上痘痘流血近1小时：用了一包400张抽纸

• 每日报道：6月13日华鲁恒升尿素价格暂稳

• 焦点信息:市场监管总局：瞄准先进材料、人工智能等领域推动建立国家标准参考数据中心

• 烟台大学附属中学石明校区举行垃圾分类科普讲座|天天时快讯

• 速递！8GB内存笔记本卖到10499元起 苹果被批吃相难看：应该破发

• 货车高速上连续疯狂别车被撞停 官方：未造成伤亡、已找到肇事者|当前播报

• 天天热讯:马斯克相中的男人！14岁成SpaceX最年轻工程师、岗位年薪百万

• 环球即时看！小米平板6 Pro两个月使用心得：找不到短板的安卓板皇

• Arm发布全新智能视觉参考设计 首次整合第三方IP核心

• 2023安洵杯 re复现

• 每天一道面试题：Spring的Bean生命周期

• Axure RP教程_编程入门自学教程_菜鸟教程-免费教程分享_环球今日讯