Asp.Net Core中虽然集成了许多常用的身份认证,但很多时候,我们还是需要实现自己的身份认证接口,本文这里就简单的介绍下如何实现自定义身份认证接口。
首先写一个简单的接口。
[Authorize]
[HttpGet]
public object Foo()
{
return DateTime.Now.ToString();
}
由于有Authorize标记,访问函数体前会判断用户是否通过认证,由于这里没有通过认证,会的得到一个500错误。
自定义认证处理类:
实现一个IAuthenticationHandler接口即可:
public class MyAuthHandler : IAuthenticationHandler
{
public const string SchemeName = "MyAuth";
AuthenticationScheme _scheme;
HttpContext _context;
/// <summary>
/// 初始化认证
/// </summary>
public Task InitializeAsync(AuthenticationScheme scheme, HttpContext context)
{
_scheme = scheme;
_context = context;
return Task.CompletedTask;
}
/// <summary>
/// 认证处理
/// </summary>
public Task<AuthenticateResult> AuthenticateAsync()
{
var req = _context.Request.Query;
var isLogin = req["isLogin"].FirstOrDefault();
if (isLogin != "true")
{
return Task.FromResult(AuthenticateResult.Fail("未登陆"));
}
var ticket = GetAuthTicket("test", "test");
return Task.FromResult(AuthenticateResult.Success(ticket));
}
AuthenticationTicket GetAuthTicket(string name, string role)
{
var claimsIdentity = new ClaimsIdentity(new Claim[]
{
new Claim(ClaimTypes.Name, name),
new Claim(ClaimTypes.Role, role),
}, "My_Auth");
var principal = new ClaimsPrincipal(claimsIdentity);
return new AuthenticationTicket(principal, _scheme.Name);
}
/// <summary>
/// 权限不足时的处理
/// </summary>
public Task ForbidAsync(AuthenticationProperties properties)
{
_context.Response.StatusCode = (int)HttpStatusCode.Forbidden;
return Task.CompletedTask;
}
/// <summary>
/// 未登录时的处理
/// </summary>
public Task ChallengeAsync(AuthenticationProperties properties)
{
_context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
return Task.CompletedTask;
}
}
主体函数是AuthenticateAsync,主要进行了如下几步
首先是根据http上下文判断用户是否通过认证,这里我实现的比较简单,判断下querystring中的IsLogin是否为true,为true则通过验证。如果通过认证,则生成一个ClaimsPrincipal对象,返回认证成功
ClaimsPrincipal对象它是.net core的验证模型。ASP.NET Core 的验证模型是claims-based authentication,网上有一些文章来介绍他Introduction to Authentication with ASP.NET Core。他们代表的意义如下:
Claim是用户信息,例如用户名,角色,邮件。一般常用的是用户名和角色。特别是角色,经常接用于授权信息中。一组claims构成了一个identity,构成了ClaimsIdentity对象,可以把ClaimsIdentity理解为"证件",驾照是一种证件,护照也是一种证件。理解记录了用户的基本信息。ClaimsIdentity的持有者就是ClaimsPrincipal,一个ClaimsPrincipal可以持有多个ClaimsIdentity,就比如一个人既持有驾照,又持有护照。
认证通过后,也可以通过HttpContext.User属性获取这个对象,从而获取用户名,角色等信息
注册自定义认证处理类:
在startup.cs中进行如下配置:
开启身份验证中间件
app.UseAuthentication(); app.UseAuthorization();
配置选项
services.AddAuthentication(options =>
{
options.AddScheme<MyAuthHandler>(MyAuthHandler.SchemeName, "default scheme");
options.DefaultAuthenticateScheme = MyAuthHandler.SchemeName;
options.DefaultChallengeScheme = MyAuthHandler.SchemeName;
});
测试:
上述功能完成后,再进行前面的测试,在url中带上认证信息访问:
可以看到这次能成功访问接口,说明认证信息是生效了的。
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线
暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。
艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。
《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。