asp.net core 設定驗定權限驗證

近日來利用工作空檔，研究了asp.net core權限驗證機制，並且透過 AuthorizationFilter 實作action 端的權限過濾。

過去在 asp.net 的mvc 有類似的做法，在asp.net core 其實也是大同小異。

asp.net mvc 也一樣是透過ActionFilter 處理權限過濾，Sam是透過cookie將加密資訊進行記錄。

這裡Account 是登錄的使用者帳號資訊，記錄於UserAuth，並且設置有效時間為1小時

var hc = new HttpCookie("UserAuth",Account)

{

Expires = DateTime.Now.AddHours(1),

HttpOnly = true

};

Response.Cookies.Add(hc);

在.net core的部份，權限設置已經較為簡化，但仍有需要注意的「眉角」：

首先在Startup.cs 的 ConfigureServices，必須設置系統授權的有效時間，以及指定登入登出頁面：

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
.AddCookie(option=>
{
option.LoginPath = new PathString("/Login/Index"); //設定登入頁Action
option.LogoutPath = new PathString("/Home/Index");//設定登出頁Action
//設定cookie 有效時間，這部份也可以在登入的時候進行設置
option.ExpireTimeSpan = TimeSpan.FromMinutes(60);//設定到期時間限制
});

另外在 Configure 的部份，啟用Route設置以前，須註冊權限驗證模式：

app.UseAuthentication();
app.UseMvc(routes =>
{
routes.MapRoute(
name: "default",
template: "{controller=Home}/{action=Index}/{id?}");
});

最後執行系統登入事件處理：

[AspNetCoreMvc1.Framework.Filter.AllowAnonoymusAttribute]

public async Task<IActionResult> Logon(string txtUid, string txtPwd)

{

//帳密驗證要先處理，這裡直接假設通過後的處理原則

if(!CheckUser(txtUid, txtPwd)){
ViewBag.ErrMsg = "帳密錯誤!!";
return RedirectToAction("Index","Login");
}

Claim[] claims = {new Claim("Account", txtUid) }; //取名Account

ClaimsIdentity claimsIdentity = new ClaimsIdentity(claims , CookieAuthenticationDefaults.AuthenticationScheme);//Scheme必填

ClaimsPrincipal principal = new ClaimsPrincipal(claimsIdentity);

var authProperties = new AuthenticationProperties{};

await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(claimsIdentity), authProperties);

var newclims = HttpContext.User.Claims;

return RedirectToAction("Index","Home");

}

執行系統登出：

//處理系統登出
public async Task<IActionResult> Logout()
{
await HttpContext.SignOutAsync();
return RedirectToAction("Index","Login");
}

如果需要進行各種畫面的驗證，再透過Filter Attribute

public sealed class LoginAuthorizeAttribute : Attribute, IAuthorizationFilter
{
public void OnAuthorization(AuthorizationFilterContext context)
{
if(!AuthorizeSessionNavigate(context))
{
context.Result = new RedirectToRouteResult(new
RouteValueDictionary(new{
Controller="Login",
Action="Index"
}));
}
}

private bool AuthorizeSessionNavigate(AuthorizationFilterContext context)
{
if(context.HttpContext.User.Claims.Where(m=>m.Type ==
"Account").Count()>0){
return true;
}
return false;
}

}//end filter class

在需要進行驗證的Action ，增加filter attribute
[AspNetCoreMvc1.Framework.Filter.LoginAuthorize]
//執行系統登出
public async Task<IActionResult> Logout()
{
await HttpContext.SignOutAsync();
return RedirectToAction("Index","Login");
}

參考來源：
https://dotblogs.com.tw/shadow/2019/01/16/105615
https://blog.johnwu.cc/article/ironman-day14-asp-net-core-filters.html

asp.net core 整合 bootstrap 第三方套件 AdminLTE

過去開發asp.net、asp.net mvc，曾經透過layout 或是 masterpage 設定bootstrap的RWD 模板，並且調用其他非官方的plugin 進行開發測試同樣 asp.net core 的開發上，將來也會有相同的需求，因此也是透過之前使用的AdminLTE進行開發，這在官網也有最新版本的範本demo https://adminlte.io/themes/dev/AdminLTE/index.html 一、下載AdminLTE 筆者在開發上，所使用的是如圖中這兩個版本二、建立Asp.Net Core 專案首先透過命令列，在專案資料夾建立一個Asp.Net Core的MVC專案 D:\ASpNetCoreMvc1\dotnet new mvc 三、Asp.Net Core 檔案配置接著依據AdminLTE-master 的架構，進行靜態檔案的配置在asp.net core 的靜態檔案架構上，跟過去在asp.net 的方法也有很大的變革，這個必須配置在wwwroot的資料夾，所以筆者將套件包的檔案下載後，直接複製到 wwwroot 進行設定內部有些檔案是我自己另外寫的，但大致結構仍以RWD為主的配置。另外如果靜態檔案未配置於wwwroot資料夾，網頁執行後將無法執行css及js 四、進行Layout檔案配置更新回歸到版面配置重點，在 _Layout 的靜態檔案版面配置方式，其實與asp.net 沒有太大的改變 @RenderBody() 這裡是版面內要處理的部份五、執行網頁

閱讀完整內容

Sam 的日常隨手記事

搜尋此網誌

asp.net core 設定驗定權限驗證

留言

張貼留言

這個網誌中的熱門文章

asp.net core 整合 bootstrap 第三方套件 AdminLTE

20170611_仁武舊聚落