mad*_*ora 7 c# authorization windows-authentication asp.net-web-api asp.net-core
我希望在 ASP.NET 3.0 MVC 应用程序中使用 Windows 身份验证,并从 SQL 数据库中提取角色以实现 API 安全性。我将用类似的东西装饰 API 控制器方法[Authorize(Roles = "Admin")]
我在这里有很多东西,我是从这个网站上学到的,但我被困在最后一部分。我可以看到该角色应用于用户,但无法获得工作授权。
为此,我首先从 ClaimsTransformer 开始,它将用于通过对我的用户的声明来应用角色。
ClaimsTransformer.cs
public async Task<ClaimsPrincipal> TransformAsync(ClaimsPrincipal principal)
{
//This sample will automatically apply the Admin role to the user
//In the real app, I will check the user against my DB and apply all roles (as claims) here
var ci = (ClaimsIdentity)principal.Identity;
var c = new Claim(ci.RoleClaimType, "Admin");
ci.AddClaim(c);
return await Task.FromResult(principal);
}
Startup.cs - 配置服务
public void ConfigureServices(IServiceCollection services)
{
services.AddControllersWithViews();
//Register the ClaimsTransformer here
services.AddSingleton<IClaimsTransformation, ClaimsTransformer>();
//Use windows authentication
services.AddAuthentication(IISDefaults.AuthenticationScheme);
services.AddAuthorization();
}
Starup.cs - 配置
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseRouting();
app.UseAuthorization();
app.UseAuthentication();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllerRoute(
name: "default",
pattern: "{controller=Home}/{action=Index}/{id?}");
});
}
数据控制器.cs
在 API 控制器中,我可以像这样设置一个没有授权的方法,并在检查 User.IsInRole("Admin"); 时看到结果显示为 true。
[HttpGet]
public async Task<IActionResult> GetData1()
{
var result = User.IsInRole("Admin");
return Ok(result);
}
但是,如果我[Authorize(Roles = "Admin")]像这样装饰控制器方法,那么我会在调用此方法时收到 Forbidden 响应。
[HttpGet]
[Authorize(Roles = "Admin")]
public async Task<IActionResult> GetData1()
{
var result = User.IsInRole("Admin");
return Ok(result);
}
| 归档时间: |
|
| 查看次数: |
4034 次 |
| 最近记录: |