asp.net-web-api – 如何在IdentityServer4中在运行时添加/管理
我想在一个新项目中使用IdentityServer4.我在PluralSight视频“了解ASP.NET核心安全性”中看到,IdentityServer4可以与基于声明的安全性一起使用,以保护Web API.我已将IdentityServer4设置为单独的项目/解决方案.
我还看到您可以添加IProfileService以向IdentityServer4返回的??令牌添加自定义声明. 一个计划是向用户添加新的声明,以授予他们访问api的不同部分的权限.但是,我无法弄清楚如何从api项目管理IdentityServer上的用户声明.我假设我应该调用IdentotyServer4来添加和删除用户声明? 此外,这是一个很好的方法,因为我不确定允许客户端为IdentityServer内部安全目的添加声明是否合理 – 并且可能导致冲突(例如,多个客户端使用’role’声明值’admin “).也许我应该在api项目中本地处理安全性,然后只使用’sub’声明来查找它们? 有没有人有这个好方法? 谢谢 解决方法
旧问题,但仍然相关.至少特权在评论中说
这是正确的,但身份也可能包含它是什么类型的用户(管理员,用户,经理等),可用于确定API中的权限.也许设置具有特定权限的用户角色?基本上,如果CLIENT1-Admin不具有与CLIENT2-Admin相同的权限,您还可以在客户端之间拆分角色以获得更多控制权. 因此,将您的角色作为IProfileService中的声明传递. public class ProfileService : IProfileService { private readonly Services.IUserService _userService; public ProfileService(Services.IUserService userService) { _userService = userService; } public async Task GetProfileDataAsync(ProfileDataRequestContext context) { try { switch (context.Client.ClientId) { //setup profile data for each different client case "CLIENT1": { //sub is your userId. var userId = context.Subject.Claims.FirstOrDefault(x => x.Type == "sub"); if (!string.IsNullOrEmpty(userId?.Value) && long.Parse(userId.Value) > 0) { //get the actual user object from the database var user = await _userService.GetUserAsync(long.Parse(userId.Value)); // issue the claims for the user if (user != null) { var claims = GetCLIENT1Claims(user); //add the claims context.IssuedClaims = claims.Where(x => context.RequestedClaimTypes.Contains(x.Type)).ToList(); } } } break; case "CLIENT2": { //... } } } catch (Exception ex) { //log your exceptions } } // Gets all significant user claims that should be included private static Claim[] GetCLIENT1Claims(User user) { var claims = new List<Claim> { new Claim("user_id",user.UserId.ToString() ?? ""),new Claim(JwtClaimTypes.Name,user.Name),new Claim(JwtClaimTypes.Email,user.Email ?? ""),new Claim("some_other_claim",user.Some_Other_Info ?? "") }; //----- THIS IS WHERE ROLES ARE ADDED ------ //user roles which are just string[] = { "CLIENT1-Admin","CLIENT1-User",.. } foreach (string role in user.Roles) claims.Add(new Claim(JwtClaimTypes.Role,role)); return claims.ToArray(); } } 然后将[Authorize]属性添加到控制器以获取特定权限.这只允许特定角色访问它们,从而设置您自己的权限. [Authorize(Roles = "CLIENT1-Admin,CLIENT2-Admin,...")] public class ValuesController : Controller { //... } 上述这些声明也可以在身份验证时传递,例如,如果您使用自定义ResourceOwnerPasswordValidator的ResourceOwner设置.您可以像验证方法一样以相同的方式传递声明. context.Result = new GrantValidationResult( subject: user.UserId.ToString(),authenticationMethod: "custom",claims: GetClaims(user)); 就像leastprivilege所说的那样,你不想使用IdentityServer来设置权限并将其作为声明传递(比如谁可以编辑什么记录),因为它们过于具体而且使令牌混乱,但是设置角色 –
用户角色完全没问题. 希望这可以帮助. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – .NET Ionic.Zip模块查杀驱动器空间
- asp.net – Jquery用户控件
- asp.net-mvc – 防止用户没有确认的电子邮件登录ASP.NET MV
- 如何使用asp.net克隆/复制控件(带子控件)?
- 什么可能导致ASP.NET在调试中跳过行?
- asp.net – System.Reflection.Assembly.LoadFile锁定文件
- asp.net – SelectedDate不适用于Calendar对象
- ASP.NET MVC5+EF6+EasyUI 后台管理系统(66)-MVC WebApi 用
- asp.net – 使用linq进行Datalist分页
- asp.net-mvc – ViewBag vs Model,在MVC.NET中
- asp.net – 在DataList ItemdataBound事件中,如何
- asp.net-mvc – 当模型绑定包含bool时,表单集合必
- asp.net – 使用jQuery显示ashx图像?
- ASP.NET MVC和FubuMVC之间的主要区别是什么?
- asp-classic – 使用ADO Stream逐行读取大文件?
- asp.net – “共享主机中的”LOG_BACKUP“的数据
- .net-core – 使用EF Core删除级联
- asp.net – 在ASP MVC3中,如何使用uri执行控制器
- asp.net-mvc – ASP.NET MVC:围绕控制器分组类
- asp.net-mvc-3 – ASP.net MVC路由与可选的第一个