对于 asp.net mvc 中的身份验证非常非常困惑

2024-01-06

我得出的结论是我需要放弃 ASP.NETMembership（列出原因）。

现在我发现我唯一需要的就是创建一个cookie（由Form Authentication），用于身份验证的自定义方法（完成），最后根据是否登录或按角色进行验证。

我被困在最后一个。

我正在尝试覆盖Authorize（属性）但我不知道如何做到这一点。我看了很多例子，每个例子的做法似乎都与下一个不同。我不知道他们为什么这样做，也不知道我应该使用哪一个。

有些教程似乎在进行身份验证AuthorizeCore，有些这样做是在OnAuthentication.

有的用一些AuthorizationContext然后调用这个基类。

base.OnAuthorization(filterContext);

有些似乎在其中进行缓存。

我想要的是内置功能具有的所有功能，但只是连接到我的自定义表格。就像我将拥有自己的角色表一样。我需要告诉它那在哪里，然后把东西拉进去。

我也不知道如何做到这一点或如何像这样装饰标签

[Authorize(Roles="test")]

参考：-http://darioquintana.com.ar/blogging/tag/aspnet-mvc/ http://darioquintana.com.ar/blogging/tag/aspnet-mvc/ asp.net mvc 添加 AUTHORIZE 属性 https://stackoverflow.com/questions/554094/asp-net-mvc-adding-to-the-authorize-attribute http://davidhayden.com/blog/dave/archive/2009/04/09/CustomAuthorizationASPNETMVCFrameworkAuthorizeAttribute.aspx http://davidhayden.com/blog/dave/archive/2009/04/09/CustomAuthorizationASPNETMVCFrameworkAuthorizeAttribute.aspx

Edit

这就是我现在所拥有的。

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
    public sealed class AuthorizeAttributeCustom : AuthorizeAttribute
    {

        public string Roles { get; set; }


        private void CacheValidateHandler(HttpContext context, object data, ref HttpValidationStatus validationStatus)
        {
            validationStatus = OnCacheAuthorization(new HttpContextWrapper(context));
        }

        public override void OnAuthorization(AuthorizationContext filterContext)
        {

            if (filterContext == null)
            {
                throw new ArgumentNullException("filterContext");
            }

            if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
            {
                // auth failed, redirect to login page
                filterContext.Result = new HttpUnauthorizedResult();
                return;
            }

            DataClasses1DataContext test = new DataClasses1DataContext();
            var name = filterContext.HttpContext.User.Identity.Name;
            var user = test.User2s.Where(u => u.userName == name).FirstOrDefault();
            var role = test.Roles.Where(u => u.UserId == user.userId).Select(u => u.Role1).FirstOrDefault();

            string[] split = Roles.Split(',');

            if (split.Contains(role) == true)
            {
                // is authenticated and is in the required role
                SetCachePolicy(filterContext);
                return;
            }
            filterContext.Result = new HttpUnauthorizedResult();
        }

        private void SetCachePolicy(AuthorizationContext filterContext)
        {
            // ** IMPORTANT **
            // Since we're performing authorization at the action level, the authorization code runs
            // after the output caching module. In the worst case this could allow an authorized user
            // to cause the page to be cached, then an unauthorized user would later be served the
            // cached page. We work around this by telling proxies not to cache the sensitive page,
            // then we hook our custom authorization code into the caching mechanism so that we have
            // the final say on whether a page should be served from the cache.
            HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache;
            cachePolicy.SetProxyMaxAge(new TimeSpan(0));
            cachePolicy.AddValidationCallback(CacheValidateHandler, null /* data */);
        }
    }

悬而未决的问题

为什么会被密封呢？如果是密封的这不是让团结变得更加困难吗测试？
什么是filterContext？
为什么没有使用AuthorizeCore？仅有的身份验证？
缓存指的是什么？喜欢它缓存角色吗？还是页面？我无法用调试器判断它似乎每次都运行代码时间。
缓存安全吗？
一般来说这是安全的（即没有漏洞被利用——有点担心我会把事情搞砸并拥有我网站上的一些主要漏洞）。

这是一个可以按照您想要的方式工作的自定义属性；使用枚举作为角色类型并使用自己创建 cookie，这允许存储角色。

usage

  [AuthorizeAttributeCustom(RoleRequired = GoodRoles.YourRoleTypeHere)]

属性代码：

//http://stackoverflow.com/questions/977071/redirecting-unauthorized-controller-in-asp-net-mvc/977112#977112
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
    public sealed class AuthorizeAttributeCustom : AuthorizeAttribute
    {

        /// <summary>
        /// The name of the view to render on authorization failure.  Default is "Error".
        /// </summary>
        public string ViewName { get; set; }
        public ViewDataDictionary ViewDataDictionary { get; set; }
        public DeniedAccessView DeniedAccessView { get; set; }

        private GoodRoles roleRequired = GoodRoles.None;
        public GoodRoles RoleRequired { get{ return roleRequired;} set{ roleRequired = value;} } // this may evolve into sets and intersections with an array but KISS

        public AuthorizeAttributeCustom()
        {
            ViewName = "DeniedAccess";
            DeniedAccessView = new DeniedAccessView
                                   {
                                       FriendlyName = "n/a",
                                       Message = "You do not have sufficient privileges for this operation."
                                   };
            ViewDataDictionary = new ViewDataDictionary(DeniedAccessView);
        }

        private void CacheValidateHandler(HttpContext context, object data, ref HttpValidationStatus validationStatus)
        {
            validationStatus = OnCacheAuthorization(new HttpContextWrapper(context));
        }


        public override void OnAuthorization(AuthorizationContext filterContext)
        {

            if (filterContext == null)
            {
                throw new ArgumentNullException("filterContext");
            }

            if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
            {
                // auth failed, redirect to login page
                filterContext.Result = new HttpUnauthorizedResult();
                return;
            }

            if (RoleRequired == GoodRoles.None || filterContext.HttpContext.User.IsInRole(RoleRequired.ToString()))
            {
                // is authenticated and is in the required role
                SetCachePolicy(filterContext);
                return;
            }

            filterContext.Result = new ViewResult { ViewName = ViewName, ViewData = ViewDataDictionary };
        }

        private void SetCachePolicy(AuthorizationContext filterContext)
        {
            // ** IMPORTANT **
            // Since we're performing authorization at the action level, the authorization code runs
            // after the output caching module. In the worst case this could allow an authorized user
            // to cause the page to be cached, then an unauthorized user would later be served the
            // cached page. We work around this by telling proxies not to cache the sensitive page,
            // then we hook our custom authorization code into the caching mechanism so that we have
            // the final say on whether a page should be served from the cache.
            HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache;
            cachePolicy.SetProxyMaxAge(new TimeSpan(0));
            cachePolicy.AddValidationCallback(CacheValidateHandler, null /* data */);
        }


    }

您需要将您的角色明确添加到 auth cookie 中，并在基本控制器中读回它们。我的实现还有其他您可能不想要的细节，所以最好在这里阅读：http://ondotnet.com/pub/a/dotnet/2004/02/02/ effectiveformsauth.html http://ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

对于 asp.net mvc 中的身份验证非常非常困惑的相关文章

实时服务器上的 woff 字体 MIME 类型错误

我有一个 asp net MVC 4 网站我在其中使用 woff 字体在 VS IIS 上运行时一切正常然而当我将 pate 上传到 1and1 托管实时服务器时我得到以下信息网络错误 404 未找到 http www co
在 Visual Studio 2008 上设置预调试事件

我想在 Visual Studio 中开始调试程序之前运行一个任务我每次调试程序时都需要运行此任务因此构建后事件还不够好我查看了设置的调试选项卡但没有这样的选项有什么办法可以做到这一点吗你唯一可以尝试的 IMO 就是尝试Co
C - 找到极限之间的所有友好数字

首先是定义一对友好的数字由两个不同的整数组成其中第一个整数的除数之和等于第二个整数并且第二个整数的除数之和等于第一个整数完美数是等于其自身约数之和的数我想做的是制作一个程序询问用户一个下限和一个上限然后向他她提供这两个限
将目录压缩为单个文件的方法有哪些

不知道怎么问所以我会解释一下情况我需要存储一些压缩文件最初的想法是创建一个文件夹并存储所需数量的压缩文件并创建一个文件来保存有关每个压缩文件的数据但是我不被允许创建许多文件只能有一个我决定创建一个压缩文件其中包含有关进一步
Json.NET - 反序列化接口属性引发错误“类型是接口或抽象类，无法实例化”

我有一个类其属性是接口 public class Foo public int Number get set public ISomething Thing get set 尝试反序列化Foo使用 Json NET 的类给我一条错误消息
如果使用 SingleOrDefault() 并在数字列表中搜索不在列表中的数字，如何返回 null？

使用查询正数列表时SingleOrDefault 当在列表中找不到数字时如何返回 null 或像 1 这样的自定义值而不是类型的默认值在本例中为 0 你可以使用 var first theIntegers Cast
Cython 和类的构造函数

我对 Cython 使用默认构造函数有疑问我的 C 类 Node 如下 Node h class Node public Node std cerr lt lt calling no arg constructor lt lt std e
WPF TabControl，用C#代码更改TabItem的背景颜色

嗨我认为这是一个初学者的问题我搜索了所有相关问题但所有这些都由 xaml 回答但是我需要的是后台代码我有一个 TabControl 我需要设置其项目的背景颜色我需要在选择取消选择和悬停时为项目设置不同的颜色非常感谢你的帮助
在 ASP.NET Core 3.1 中使用包含“System.Web.HttpContext”的旧项目

我们有一些用 Net Framework编写的遗留项目应该由由ASP NET Core3 1编写的API项目使用问题是这些遗留项目正在使用 System Web HttpContext 您知道它不再存在于 net core 中现在我们
如何使用 Error.cshtml 视图中的过滤器放入 ViewBag 的数据？

我有一个操作过滤器负责将一些通用信息放入 ViewBag 中供共享 Layout cshtml 文件中的所有视图使用 public class ProductInfoFilterAttribute ActionFilterAttribu
如何衡量两个字符串之间的相似度？ [关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案给定两个字符串text1 and text2 public SOMEUSABLERETURNTYPE Compare string t
如何在 VBA 中声明接受 XlfOper (LPXLOPER) 类型参数的函数？

我在之前的回答里发现了问题 https stackoverflow com q 19325258 159684一种无需注册即可调用 C xll 中定义的函数的方法我之前使用 XLW 提供的注册基础结构并且使用 XlfOper 类型在 V
将 unsigned char * (uint8_t *) 转换为 const char *

我有一个带有 uint8 t 参数的函数 uint8 t ihex decode uint8 t in size t len uint8 t out uint8 t i hn ln for i 0 i lt len i 2 hn in i
实体框架 4 DB 优先依赖注入？

我更喜欢创建自己的数据库设置索引唯一约束等使用 edmx 实体框架设计器从数据库生成域模型是轻而易举的事现在我有兴趣使用依赖注入来设置一些存储库我查看了 StackOverflow 上的一些文章和帖子似乎重点关注代码优先方法
如何使我的表单标题栏遵循 Windows 深色主题？

我已经下载了Windows 10更新包括黑暗主题文件资源管理器等都是深色主题但是当我创建自己的 C 表单应用程序时标题栏是亮白色的如何使我自己的桌面应用程序遵循我在 Windows 中设置的深色主题你需要调用DwmSetWindo
C++ fmt 库，仅使用格式说明符格式化单个参数

使用 C fmt 库并给定一个裸格式说明符有没有办法使用它来格式化单个参数 example std string str magic format 2f 1 23 current method template
WCF：将随机数添加到 UsernameToken

我正在尝试连接到用 Java 编写的 Web 服务但有些东西我无法弄清楚使用 WCF 和 customBinding 几乎一切似乎都很好除了 SOAP 消息的一部分因为它缺少 Nonce 和 Created 部分节点显然我错过了一
x86 上未对齐的指针

有人可以提供一个示例将指针从一种类型转换为另一种类型由于未对齐而失败吗在评论中这个答案 https stackoverflow com questions 544928 reading integer size bytes from a
ASP.NET MVC 6 (ASP.NET 5) 中的 Application_PreSendRequestHeaders 和 Application_BeginRequest

如何在 ASP NET 5 MVC6 中使用这些方法在 MVC5 中我在 Global asax 中使用了它现在呢也许是入门班 protected void Application PreSendRequestHeaders obj
防止索引超出范围错误

我想编写对某些条件的检查而不必使用 try catch 并且我想避免出现 Index Out of Range 错误的可能性 if array Element 0 Object Length gt 0 array Element 1 Ob

随机推荐

safari/chrome/opera 可以在上传过程中发出 ajax 请求吗？

基本上我正在发出一个简单的ajax请求 function upload setInterval function callMeOften ajax method get url uploadinfo php unique id dataTy
Enum.TryParse 的非常基本的使用不起作用

我发现了一个非常基本的代码如下所述但我无法让它在我的 c windows 窗体解决方案中工作我收到错误 System Enum TryParse string out string 的最佳重载方法匹配有一些无效参数参数 1 无法从
如何使用 LESS CSS 创建嵌套循环？

我所知道的是 iterations 8 mixin loop index when index gt 0 my class index width 100 index mixin loop index 1 mixin loop 0 mixi
如何使自定义 MKAnnotation 可拖动

我需要具有不同引脚图像的 MKAnnotation 所以我创建了以下内容 interface NavigationAnnotation NSObject
如果文件存在，如何增加文件名编号

如果文件已经存在如何增加文件名这是我正在使用的代码 int num 0 String save at getText toString jpg File file new File myDir save if file exists s
Firefox 上的 window.open(url) 和 window.location.href = url 有什么区别？

我正在尝试构建一个书签将当前 url 作为参数提供给另一个 url 然而我发现这 javascript function window open http www somesi te some thing url encodeURICom
使用索引查找 Pandas 中两个系列之间的交集

我有两个不同长度的系列我试图根据索引找到两个系列的交集其中索引是一个字符串希望最终结果是一个包含基于公共字符串索引的交集元素的序列有任何想法吗 Pandas 索引有一个交集法 http pandas pydata org panda
Android 方向变化：不同的布局，相同的片段

这几乎是一个经典的 Android 用例假设我们有 2 个片段 FragmentS 和 Fragment 在横向模式下 FragmentA 和 FragmentB 并排放置在纵向模式下它们在使用时都会占据全屏 See this ima
停止实体框架修改数据库

我开始尝试实体框架的代码优先方法主要是这样我可以用注释来装饰我的属性以便在我的视图中显示否则现在我必须创建一个与实体框架为我生成的一个这样我就可以添加注释然后将数据从一个对象复制到下一个对象现在看起来当我启动我的应用程序时它正
带有 Keycloak 的 SpringBoot OAuth2 不返回映射的角色作为权限

我正在创建一个简单的 SpringBoot 应用程序并尝试与 OAuth 2 0 提供程序 Keycloak 集成我在领域级别创建了领域客户端角色成员 PremiumMember 最后创建了用户并分配了角色成员 PremiumMe
request() 在 razorpay 与 django 集成中收到意外的关键字参数“amount”

我正在尝试将 Razorpay 与我的 django 应用程序集成正如他们所建议的文档 https razorpay com docs api payments capture a payment I did pip install ra
在 PHP 中为 Google App Engine 执行 URLFetch 时如何禁用重定向？

我正在尝试在 GAE 站点上设置两个 PHP 一个充当 Web 服务层另一个充当前端到目前为止一切都很棒我正在尝试保护这两层之间的通信以便不仅我可以调用我的 Web 服务我发现这篇文章讨论了发出请求通过这样做它可以设置X A
如何覆盖 Grails GORM 中关系的级联删除？

我在使用 Grails 的 GORM 部分时遇到一些问题我正在使用 Grails 1 3 4 和 H2 在数据库中我有两个表template and report 在 GORM 级别我有两个 Domain 类Template and Re
Blazor 路由中的多个查询字符串参数

我当前的项目中有多个从 url 检索 1 个查询参数的工作示例但是当尝试对多个 url 参数遵循相同的约定时我在 chrome 调试器控制台中收到以下错误 Error System InvalidOperationException R
如何将 IdentityServer4 Identity 映射到任何 WebApp（.Net MVC Boilerplate、.Net Core Boilerplate）

我正在创建一个 SSO 服务器将所有用户集中在 Active Directory AD 中并在那里管理它们而不是管理每个特定应用程序的数据库为了制作这个服务器我使用了 IdentityServer4 Idsr4 和LDAP AD 扩
尝试使用需要身份验证的 API 的 Google 脚本从 TDAmeritrade 提取股票报价信息

我正在使用 TD Ameritrade 的 API 来提取股票行情信息该脚本需要身份验证才能提取实时数据 CURL命令如下 curl X GET header 授权 header 授权承载 https api tdameritrade
滚动视图中的 SwiftUI 动画/过渡表现得很奇怪

我在 SwiftUI 中有一个包含多个元素的 ScrollView 其中一些元素可以点击扩展 struct ExpandingView View State var showContent false var body some View
从字符串中删除完全匹配的单词

我想删除下面句子中的 amp 一词 original x lt come on amp this just encourages the already rampant mispronunciation of phuket 我想要的是 x
React Javascript 显示/解码 unicode 字符

我有一个需要转换的 unicode 字符串我需要将带有 u00f3 的字符串渲染为这是一个示例所有其他类型的字符都应该发生这种情况我有以下基本代码 https jsfiddle net dddf7o70 https jsfiddle
对于 asp.net mvc 中的身份验证非常非常困惑

我得出的结论是我需要放弃 ASP NETMembership 列出原因现在我发现我唯一需要的就是创建一个cookie 由Form Authentication 用于身份验证的自定义方法完成最后根据是否登录或按角色进行验证我被困在最后

对于 asp.net mvc 中的身份验证非常非常困惑

对于 asp.net mvc 中的身份验证非常非常困惑 的相关文章

随机推荐

热门标签

对于 asp.net mvc 中的身份验证非常非常困惑的相关文章