asp.net – 如何在没有查找AspNetUserRoles表的情况下获取WebAPI
|
我有一个更新状态的存储过程。根据用户的角色,存储过程具有可能或可能不允许状态更改的代码。因此,我需要将角色名称传递给存储过程。我的角色名称存储在我的JavaScript代码的客户端上,但当然我需要在服务器上进行第二次检查。每个用户只有三个角色中的一个,当请求更新状态时,我可以根据客户端的角色调用三种方法之一。这是我试过的
我正在使用具有承载令牌的认证和ASP.NET Identity 2.1的WebApi,应用程序始终在浏览器中运行。我的用户已经设置了相应的角色。 我放置一些代码来获取userId,然后转到AspNetUserRoles表,以获取方法开始时的角色。但是我注意到这需要大约500毫秒才能运行。另外我正在考虑以下几点: [HttpPut]
[Authorize(Roles = "Admin")]
[Route("AdminUpdateStatus/{userTestId:int}/{userTestStatusId:int}")]
public async Task<IHttpActionResult> AdminUpdateStatus(int userTestId,int userTestStatusId)
{
return await UpdateStatusMethod(userTestId,userTestStatusId,"Admin");
}
[HttpPut]
[Authorize(Roles = "Student")]
[Route("StudentUpdateStatus/{userTestId:int}/{userTestStatusId:int}")]
public async Task<IHttpActionResult> StudentUpdateStatus(int userTestId,"Student");
}
[HttpPut]
[Authorize(Roles = "Teacher")]
[Route("TeacherUpdateStatus/{userTestId:int}/{userTestStatusId:int}")]
public async Task<IHttpActionResult> TeacherUpdateStatus(int userTestId,"Teacher");
}
private async Task<IHttpActionResult> UpdateStatusMethod(int userTestId,int userTestStatusId,string roleName)
{
// Call the stored procedure here and pass in the roleName
}
这是一个有效的方法来做到这一点,或者还有另一种更干净的方法。我不太清楚的是,如果前端或后端缓存用户角色。我认为这是完成或有一些设置将允许这样做。 注意我正在使用声明将角色信息发送给我的客户端: public static AuthenticationProperties CreateProperties(
string userName,ClaimsIdentity oAuthIdentity,string firstName,string lastName,int organization)
{
IDictionary<string,string> data = new Dictionary<string,string>
{
{ "userName",userName},{ "firstName",firstName},{ "lastName",lastName},{ "organization",organization.ToString()},{ "roles",string.Join(":",oAuthIdentity.Claims.Where(c=> c.Type == ClaimTypes.Role).Select(c => c.Value).ToArray())}
};
return new AuthenticationProperties(data);
}
但是,这里的问题与服务器有关,如果用户在不去数据库的情况下,我可以检查我的方法。也许有一种方法可以安全地使用声明,但我不知道如何做到这一点。 任何帮助和建议将不胜感激。 解决方法
正如你所说,你正在使用承载令牌来保护你的终点。我相信,这些承载令牌魔术字符串中包含的内容很少有误会。
那么这些令牌包含您发出令牌的用户的所有角色,以及如果您在Web API中使用默认数据保护DPAPI(JWT令牌),那么这些令牌被签名和加密,因此没有人可以篡改数据在令牌内,除非他有web服务器发出这个令牌的mashineKey,所以不要担心数据保护。 我的建议是从数据库中读取用户的角色/声明,您无需为此尝试解决此问题,所有您需要做的是在用户登录方法GrantResourceOwnerCredentials时为用户设置声明您可以这样设置,让用户从DB读取角色并将其设置为“Role”类型的声明 var identity = new ClaimsIdentity(context.Options.AuthenticationType); identity.AddClaim(new Claim(ClaimTypes.Name,context.UserName)); identity.AddClaim(new Claim(ClaimTypes.Role,"Admin")); identity.AddClaim(new Claim(ClaimTypes.Role,"Supervisor")); 记住,只有当用户登录时才会发生一次,那么您将收到包含所有这个用户声明的承载签名和加密令牌,不需要任何数据库访问来进行验证。 或者如果要从数据库创建身份,您可以使用以下内容: public async Task<ClaimsIdentity> GenerateUserIdentityAsync(UserManager<ApplicationUser> manager,string authenticationType)
{
// Note the authenticationType must match the one defined in CookieAuthenticationOptions.AuthenticationType
var userIdentity = await manager.CreateIdentityAsync(this,authenticationType);
// Add custom user claims here
return userIdentity;
}
然后在GrantResourceOwnerCredentials中执行以下操作: ClaimsIdentity oAuthIdentity = await user.GenerateUserIdentityAsync(userManager,OAuthDefaults.AuthenticationType); 现在,一旦将承载令牌发送到具有Authorize(Authorize(Roles =“Teacher”)]的Authorize属性的受保护终端,我可以向您保证,您的代码将不会访问DB以执行任何查询,打开SQL分析器并检查它将从加密的令牌中读取声明以及角色声明,并检查此用户是否属于教师角色,并允许或拒绝请求。 我已经发布了一系列关于Token Based Authentication的5个帖子以及Authorization server和JWT tokens.我建议你阅读这些帖子来更好地了解持卡人的记号。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – ‘txtName’未声明 由于其保护等级可
- asp.net – 操作无法完成. FORMATETC结构无效
- asp.net-mvc-4 – 如何从asp.net mvc 4中的空Web
- 实体框架 – EF 6 Code First迁移警告或阻止破坏
- 框架类似于ASP.Net AjaxPro
- asp.net-mvc – 使用ASP.NET Core和MVC存储本地文
- asp.net-mvc – 在ASP.NET MVC中,使用@RenderSec
- 将(单片)经典ASP迁移到ASP.Net
- asp.net – 在编辑模式下未选择的Html.DropDownL
- asp.net – 默认模型绑定器和包含列表的复杂类型