asp.net core 設定驗定權限驗證

近日來利用工作空檔，研究了asp.net core權限驗證機制，並且透過 AuthorizationFilter 實作action 端的權限過濾。

過去在 asp.net 的mvc 有類似的做法，在asp.net core 其實也是大同小異。

asp.net mvc 也一樣是透過ActionFilter 處理權限過濾，Sam是透過cookie將加密資訊進行記錄。

這裡Account 是登錄的使用者帳號資訊，記錄於UserAuth，並且設置有效時間為1小時

var hc = new HttpCookie("UserAuth",Account)

{

Expires = DateTime.Now.AddHours(1),

HttpOnly = true

};

Response.Cookies.Add(hc);

在.net core的部份，權限設置已經較為簡化，但仍有需要注意的「眉角」：

首先在Startup.cs 的 ConfigureServices，必須設置系統授權的有效時間，以及指定登入登出頁面：

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
.AddCookie(option=>
{
option.LoginPath = new PathString("/Login/Index"); //設定登入頁Action
option.LogoutPath = new PathString("/Home/Index");//設定登出頁Action
//設定cookie 有效時間，這部份也可以在登入的時候進行設置
option.ExpireTimeSpan = TimeSpan.FromMinutes(60);//設定到期時間限制
});

另外在 Configure 的部份，啟用Route設置以前，須註冊權限驗證模式：

app.UseAuthentication();
app.UseMvc(routes =>
{
routes.MapRoute(
name: "default",
template: "{controller=Home}/{action=Index}/{id?}");
});

最後執行系統登入事件處理：

[AspNetCoreMvc1.Framework.Filter.AllowAnonoymusAttribute]

public async Task<IActionResult> Logon(string txtUid, string txtPwd)

{

//帳密驗證要先處理，這裡直接假設通過後的處理原則

if(!CheckUser(txtUid, txtPwd)){
ViewBag.ErrMsg = "帳密錯誤!!";
return RedirectToAction("Index","Login");
}

Claim[] claims = {new Claim("Account", txtUid) }; //取名Account

ClaimsIdentity claimsIdentity = new ClaimsIdentity(claims , CookieAuthenticationDefaults.AuthenticationScheme);//Scheme必填

ClaimsPrincipal principal = new ClaimsPrincipal(claimsIdentity);

var authProperties = new AuthenticationProperties{};

await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(claimsIdentity), authProperties);

var newclims = HttpContext.User.Claims;

return RedirectToAction("Index","Home");

}

執行系統登出：

//處理系統登出
public async Task<IActionResult> Logout()
{
await HttpContext.SignOutAsync();
return RedirectToAction("Index","Login");
}

如果需要進行各種畫面的驗證，再透過Filter Attribute

public sealed class LoginAuthorizeAttribute : Attribute, IAuthorizationFilter
{
public void OnAuthorization(AuthorizationFilterContext context)
{
if(!AuthorizeSessionNavigate(context))
{
context.Result = new RedirectToRouteResult(new
RouteValueDictionary(new{
Controller="Login",
Action="Index"
}));
}
}

private bool AuthorizeSessionNavigate(AuthorizationFilterContext context)
{
if(context.HttpContext.User.Claims.Where(m=>m.Type ==
"Account").Count()>0){
return true;
}
return false;
}

}//end filter class

在需要進行驗證的Action ，增加filter attribute
[AspNetCoreMvc1.Framework.Filter.LoginAuthorize]
//執行系統登出
public async Task<IActionResult> Logout()
{
await HttpContext.SignOutAsync();
return RedirectToAction("Index","Login");
}

參考來源：
https://dotblogs.com.tw/shadow/2019/01/16/105615
https://blog.johnwu.cc/article/ironman-day14-asp-net-core-filters.html

Sam 的日常隨手記事

搜尋此網誌

asp.net core 設定驗定權限驗證

留言

張貼留言

這個網誌中的熱門文章

asp.net core 整合 bootstrap 第三方套件 AdminLTE

大社老街屋巡禮

週末假日吃個美食簡單生活、到附近廟宇特寫