JWT 基于Roles的授权

时间：2023-02-11 11:33:58浏览次数：42

标签：Authorize Roles JWT RoleA RoleB 授权权限 public

本文主要介绍如何配置使用JWT基于Role的授权配置

Demo演示：

1.Token生成

通过Token进行认证和授权，需要在Claims中配置Role对应的权限项。

假设用户有两个权限:"RoleA"和"RoleB",在生成Token的过程中，添加这两个权限

claims.Add(new Claim(ClaimTypes.Role, "RoleA"));
claims.Add(new Claim(ClaimTypes.Role, "RoleB"));

2.StartUp中的配置,添加中间件

注意先认证，再授权，要按顺序执行。

 app.UseAuthentication();
 app.UseAuthorization();

3.后端代码加权限

即接口权限配置，在控制器层面增加授权标签Authorize

普通的[Authorize]让任何经过认证的用户进入

基于角色的[Authorize(Roles="RoleA")]访问

允许匿名[AllowAnonymous]访问

测试用例:

3-1.单个权限：登录人需要有“RoleA”的权限，进行如下配置：

[HttpPost]
[Authorize(Roles = "RoleA")]
public ActionResult TestB()
{
    return Ok(DateTime.Now);
}

3-2 .组合权限：登录人需要有组合权限“RoleA”和“RoleB”,进行如下配置：

[HttpPost]
[Authorize(Roles ="RoleB,RoleA")]
public ActionResult TestB()
{
    return Ok(DateTime.Now);
}

3-3.取消权限：控制器上添加了权限，但控制器下的某个接口不需要权限验证，添加标签AllowAnonymous，进行如下配置：

 1 [ApiController]
 2 [Route("api/[controller]/[action]")]
 3 [Authorize(Roles = "RoleA")]//可以为整个Controller设置Roles
 4 public class RoleAController : Controller
 5 {
 6     [HttpPost]
 7     public ActionResult TestA()
 8     {
 9         return Ok(DateTime.Now);
10     }
11     [AllowAnonymous]
12     [HttpPost]
13     public ActionResult TestB()
14     {
15         return Ok(DateTime.Now);
16     }
17 }

4.测试结果:

测试环境Swagger

用户有权限“RoleA”和“RoleB”，claims中已添加。

(1).首先获取Token:

(2).绑定Token

4-1.需要有"RoleA"的权限才能访问

 1 [Authorize(Roles = "RoleA")]//可以为整个Controller设置Roles
 2 public class RoleAController : Controller
 3 {
 4     [HttpPost]
 5     public ActionResult TestA()
 6     {
 7         return Ok(DateTime.Now);
 8     }
 9     [AllowAnonymous]
10     [HttpPost]
11     public ActionResult TestB()
12     {
13         return Ok(DateTime.Now);
14     }
15 }

结果：都是200，调用成功

4-2.控制器需要“RoleB"的权限，但TestB方法需要"RoleD"的权限，会显示403

 1 [ApiController]
 2 [Authorize(Roles = "RoleB")]
 3 [Route("api/[controller]/[action]")]
 4 public class RoleBController : Controller
 5 {
 6     [HttpPost]
 7     //也可以分别设置
 8     public ActionResult TestA()
 9     {
10         return Ok(DateTime.Now);
11     }
12     [HttpPost]
13     [Authorize(Roles = "RoleD")]
14     public ActionResult TestB()
15     {
16         return Ok(DateTime.Now);
17     }
18 }

结果如下：

RoleB/TestA,成功

RoleB/TestB,失败，返回403，授权失败

标签：Authorize,Roles,JWT,RoleA,RoleB,授权,权限,public
From： https://www.cnblogs.com/ywkcode/p/17111097.html

JWT
什么是JWT?JWT（JSONWebToken）是目前最流行的跨域认证解决方案，是一种基于Token的认证授权机制。从JWT的全称可以看出，JWT本身也是Token，一种规范化之后的JSON结......
drf，drf-jwt源码，自定义用户表签发和认证，simpleui的使用，权限控制(acl,rbac)
内容回顾接口文档的编写word,md编写》存放位置：存放共享文件平台，git上，总之就是可以让其他人能访问到第三方的接口文档编写平台公司自己开发，使用开源搭建，Yapi自动生成接......
python之路68 drf从入门到成神 9 drf_jwt源码执行流程、自定义用户表签发和认证、simp
drf-jwt源码执行流程（了解）签发(登录)源码分析登录接口，路由匹配成功，执行obtain_jwt_token----》post请求----》ObtainJSONWebToken的post方法path（'login/',obtain_jwt......
drf-jwt源码执行流程、自定义用户表签发和认证、simpleui的使用、权限控制(acl,rbac)
1drf-jwt源码执行流程1.1签发(登录)#登录接口，路由匹配成功，执行obtain_jwt_token---》post请求---》ObtainJSONWebToken的post方法 path('login/',obtain_jwt_token)......
授权
实名授权1、网页授权参考链接https://developers.weixin.qq.com/doc/offiaccount/OA_Web_Apps/Wechat_webpage_authorization.html分两种情况，一种是静默状态就是客户无......
drf-day10——jwt配置信息、drf-jwt源码执行流程、自定义用户表实现jwt的签发和认证、
目录一、jwt配置文件二、drf-jwt源码执行流程（了解）2.0auth的user表的补充知识1、django的authuser表，密码是加密的，即便的同样的密码，密文都不一样2、自定义用户表，生成密码......
JWT认证
1.Token首先大致了解一下什么是TokenToken是一种客户端认证机制、令牌，是一个经过加密的字符串，安全性强，支持跨域用户第一次登录，服务器通过数据库校验其用户名......
61、利用sudo实现授权
sudo介绍sudo：superuserdo，即使用超级用户执行，配置文件为/etc/sudoers；sudo使用需要输入用户密码，输入后5分钟内无需再次输入密码sudo特性：1、能够授权指定用户在指定主机上运行......
keycloak~JWT没有被持久化_是因为你对方法论理解不到位
JWT没有被持久化？我们总是说，JWT(jsonwebtoken)是一个自解释的token，里面有用户相关的信息，它不需要被保存在服务端，降低了服务端的压力；同时有人会说，如果希望验证token的实......
接口文档 jwt介绍和原理 drf-jwt快速使用定制返回格式 jwt认证类
目录回顾接口文档coreapi的安装及使用jwt介绍和原理介绍：构成和工作原理：1.JWT的构成2.JWT之header3.JWT之荷载(payload)JWT之签证(signature)总结：drf项目的jwt认证开发流程（......

JWT 基于Roles的授权

相关文章

赞助商

阅读排行