堆栈内存溢出
  繁体   English   中英

具有基于角色的授权的ASP.NET Web Api

[英]ASP.NET Web Api with Role based authorization

 原文  2015-11-18 09:08:11       c#/ asp.net/ owin

问题描述

我使用Web API 2与基于OWIN令牌的身份验证。 只有不起作用的是基于角色的授权。

在我的AuthorizationServerProvider.GrantResourceOwnerCredentials的实现中,这是我分配角色的方式: 

identity.AddClaim(client.ApplicationType == ApplicationTypes.WebClient
            ? new Claim(ClaimTypes.Role, "user")
            : new Claim(ClaimTypes.Role, "admin"));

但是在使用[Authenticate(Roles =“user”)]的Controller中,只是向客户端返回授权拒绝消息。 我检查了变量,这是什么内部 在此输入图像描述

所以角色似乎存在,但user.Claims为空,IsInRole(“user”)也返回负数。

我在stackoverflow和逻辑方面发现了几个问题,我没有看到我错过了什么。 我想到的只是覆盖授权命令,但由于基于角色的授权似乎已经集成,所以这是不必要的......

编辑:这是我的workig方法的样子: 

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
    var allowedOrigin = context.OwinContext.Get<string>("as:clientAllowedOrigin") ?? "*";
        context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { allowedOrigin });

    Client client;
    using (var repo = new AuthRepository())
    {
        client = repo.FindClient(context.ClientId);
        if (client.ApplicationType != ApplicationTypes.Service)
        {
            var user = await repo.FindUser(context.UserName, context.Password);

            if (user == null)
            {
                context.SetError("invalid_grant", "The user name or password is incorrect." + context.UserName);
                return;
            }
        }
}

2 个解决方案

解决方案1
 5 已采纳  2015-11-18 09:18:07

不要直接添加角色声明,而是使用UserManager: 

UserManagerInstance.AddToRole(userId, "admin");

这样,角色将被持久化(到AspNetUserRoles或您配置的任何内容),因此它将用于后续请求。 如果您直接添加声明,则不会发生这种情况,因为您将其添加到用户身份的“实例”中,该实例会因当前请求而死亡。

回答您的进一步要求:

如果您希望在票证上编制索赔,那么您必须按照您的方式添加索赔(在GrantResourceOwnerCredentials中): 

var props = new AuthenticationProperties(new Dictionary<string, string>
        {
            { "userId", "blah,blah" },
            { "role", "admin" }
        });

var ticket = new AuthenticationTicket(identity, props);
context.Validated(ticket);

这样您就不必“坚持”这类用户

当然,您必须覆盖OAuthAuthorizationServerProvider的TokenEndpoint方法,以便在以后的请求/响应中检索这些数据。 

    public override Task TokenEndpoint(OAuthTokenEndpointContext context)
    {
        foreach (KeyValuePair<string, string> property in context.Properties.Dictionary)
        {
            context.AdditionalResponseParameters.Add(property.Key, property.Value);
        }

        return Task.FromResult<object>(null);
    }

解决方案2
 1  2016-06-04 10:58:40

可能以某种方式解决了它,但对我来说,如果我这样说它就有效: 

[Authorize(Roles = "user")]
[Route("")]
[HttpGet]
public async Task<IHttpActionResult> GetUserSpecificServers() { ... }

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 基于路由参数的基于ASP.NET Web API角色的授权 基于 ASP.NET Core 3.1 Web API 角色的授权不起作用 IdentityServer4 基于角色的 Web API 授权与 ASP.NET Core 标识 ASP.NET中基于角色的授权 基于授权的 ASP.Net Web Api 帮助页面 基于ASP.NET Web API角色的安全性 没有web.sitemap,是否可以具有基于ASP.NET角色的表单身份验证和授权? 通过使用JWT令牌在Web API上声明角色授权-Asp.net核心标识 授权和身份验证ASP.Net Web API ASP.NET Web API授权过滤器
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM