Furion 15. 安全鉴权

最新推荐文章于 2025-10-16 13:31:46 发布
转载 最新推荐文章于 2025-10-16 13:31:46 发布 · 3.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/WuLex
文章标签:

#http

本文详细介绍了身份验证(鉴权)的概念和常见方式,包括HTTPBasicAuthentication、Session+Cookie、Token(JWT)以及OAuth。重点讲解了JWT的身份验证原理和在Furion框架中的实现,包括添加Cookie和JWT身份验证、混合身份验证以及高级自定义授权。同时,提到了Token的刷新机制和客户端处理。最后,讨论了授权特性及全局授权的设置。

15.1 什么是鉴权

鉴权实际上就是一种身份认证

由用户提供凭据,然后将其与存储在操作系统、数据库、应用或资源中的凭据进行比较。 在授权过程中,如果凭据匹配,则用户身份验证成功,可执行已向其授权的操作。 授权指判断允许用户执行的操作的过程。
也可以将身份验证理解为进入空间(例如服务器、数据库、应用或资源)的一种方式,而授权是用户可以对该空间(服务器、数据库或应用)内的哪些对象执行哪些操作。

15.1.1 常见的鉴权方式

  • HTTP Basic Authentication

这是 HTTP 协议实现的基本认证方式,我们在浏览网页时,从浏览器正上方弹出的对话框要求我们输入账号密码,正是使用了这种认证方式

  • Session + Cookie

利用服务器端的 session(会话)和浏览器端的 cookie 来实现前后端的认证,由于 http 请求时是无状态的,服务器正常情况下是不知道当前请求之前有没有来过,这个时候我们如果要记录状态,就需要在服务器端创建一个会话(session),将同一个客户端的请求都维护在各自的会话中,每当请求到达服务器端的时候,先去查一下该客户端有没有在服务器端创建 session,如果有则已经认证成功了,否则就没有认证。

  • Token

客户端在首次登陆以后,服务端再次接收 HTTP 请求的时候,就只认 Token 了,请求只要每次把 Token 带上就行了,服务器端会拦截所有的请求,然后校验 Token 的合法性,合法就放行,不合法就返回 401(鉴权失败)

Token验证比较灵活,适用于大部分场景。常用的 Token 鉴权方式的解决方案是 JWTJWT 是通过对带有相关用户信息的进行加密,加密的方式比较灵活,可以根据需求具体设计。

  • OAuth

OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容,为了保护用户数据的安全和隐私,第三方网站访问用户数据前都需要显式的向用户征求授权。我们常见的提供 OAuth 认证服务的厂商有支付宝、QQ 和微信。

OAuth 协议又有 1.0 和 2.0 两个版本。相比较 1.0 版,2.0 版整个授权验证流程更简单更安全,也是目前最主要的用户身份验证和授权方式。

15.2 如何使用

配置之前

在添加授权服务之前,请先确保 Startup.csConfigure 是否添加了以下两个中间件:

app.UseAuthentication();
app.UseAuthorization();

15.2.1 添加 Cookie 身份验证

// Cookies单独身份验证
services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
        .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, b =>
        {
            b.LoginPath = "/Home/Login";
        });

15.2.2 添加 Jwt 身份验证

services.AddJwt();

特别注意

JWT 鉴权并未包含在 Furion 框架中,需要安装 Furion 框架提供的 Furion.Extras.Authentication.JwtBearer 拓展包。

  • 自定义 Jwt 配置(默认无需配置)
{
  "JWTSettings": {
    "ValidateIssuerSigningKey": true, // 是否验证密钥,bool 类型,默认true
    "IssuerSigningKey": "你的密钥", // 密钥,string 类型,必须是复杂密钥,长度大于16
    "ValidateIssuer": true, // 是否验证签发方,bool 类型,默认true
    "ValidIssuer": "签发方", // 签发方,string 类型
    "ValidateAudience": true, // 是否验证签收方,bool 类型,默认true
    "ValidAudience": "签收方", // 签收方,string 类型
    "ValidateLifetime": true, // 是否验证过期时间,bool 类型,默认true,建议true
    "ExpiredTime": 20, // 过期时间,long 类型,单位分钟,默认20分钟
    "ClockSkew": 5, // 过期时间容错值,long 类型,单位秒,默认 5秒
    "Algorithm": "HS256" // 加密算法,string 类型,默认 SecurityAlgorithms.HmacSha256
  }
}

系统安全注意事项

Furion 框架为了方便开发,已经自动添加了 Jwt 默认配置。建议每个项目都应该单独配置 IssuerSigningKeyValidIssuerValidAudience 这三个。否则同样用了 Furion 框架生成的 Token 可能存在相互访问各自系统的风险。

温馨提示

目前支持的加密算法,详情请查阅SecurityAlgorithms

  • 生成 Token
// 生成 token
var accessToken = JWTEncryption.Encrypt(new Dictionary<string, object>()
            {
                { "UserId", user.Id },  // 存储Id
                { "Account",user.Account }, // 存储用户名
            });

15.2.3 混合身份验证

// JWT 和 Cookies 混合身份验证
services.AddJwt(options =>
{
      options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
      options.DefaultChallengeScheme = CookieAuthenticationDefaults.AuthenticationScheme;
})
.AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
{
       options.LoginPath = "/Home/Login";
});

特别注意

如果启用了混合身份验证后,WebApi 需在控制器/Action 中指定 Scheme 类型为 JwtBearerDefaults.AuthenticationScheme,如:

[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]
public class ApiServices : IDynamicApiController
{
}

如果不设置 Scheme 那么在混合授权的 Swagger 中将默认采用 Cookie 方式,也就是授权失败会将整个 登录页面 内容返回。

15.3 高级自定义授权

Furion 框架提供了非常灵活的高级策略鉴权和授权方式,通过该策略授权方式可以实现任何自定义授权。

15.3.1 AppAuthorizeHandler

Furion 框架提供了 AppAuthorizeHandler 策略授权处理程序提供基类,只需要创建自己的 Handler 继承它即可。如:JwtHandler

using Furion.Authorization;
using Furion.Core;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using Microsoft.IdentityModel.JsonWebTokens;
namespace Furion.Web.Core
{
    /// <summary>
    /// JWT 授权自定义处理程序
    /// </summary>
    public class JwtHandler : AppAuthorizeHandler
    {
        /// <summary>
        /// 请求管道
        /// </summary>
        /// <param name="context"></param>
        /// <param name="httpContext"></param>
        /// <returns></returns>
        public override Task<bool> PipelineAsync(AuthorizationHandlerContext context, DefaultHttpContext httpContext)
        {
            // 此处已经自动验证 Jwt token的有效性了,无需手动验证
            // 检查权限,如果方法是异步的就不用 Task.FromResult 包裹,直接使用 async/await 即可
            return Task.FromResult(CheckAuthorzie(httpContext));
        }
        /// <summary>
        /// 检查权限
        /// </summary>
        /// <param name="httpContext"></param>
        /// <returns></returns>
        private static bool CheckAuthorzie(DefaultHttpContext httpContext)
        {
            // 获取权限特性
            var securityDefineAttribute = httpContext.GetMetadata<SecurityDefineAttribute>();
            if (securityDefineAttribute == null) return true;
            return "查询数据库返回是否有权限";
        }
    }
}

之后注册 JwtHandler 即可:

services.AddJwt<JwtHandler>();

15.3.2 完全自定义授权

有些时候可能针对不同的平台采用不一样的授权方式,比如合作信任的第三方机构可以免授权,这时候我们只需要重写 HandleAsync 方法即可。如:

using Furion.Authorization;
using Furion.Core;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using System.Threading.Tasks;
namespace Furion.Web.Core
{
    public class JwtHandler : AppAuthorizeHandler
    {
        public override async Task HandleAsync(AuthorizationHandlerContext context)
        {
            // 常规授权(可以判断不是第三方)
            var isAuthenticated = context.User.Identity.IsAuthenticated;
            // 第三方授权自定义
            if(是第三方){
                foreach (var requirement in pendingRequirements)
                {
                    // 授权成功
                   context.Succeed(requirement);
                }
            }
            // 授权失败
            else context.Fail();
        }
    }
}

15.4 授权特性及全局授权

默认情况下,所有的路由都是允许匿名访问的,所以如果需要对某个 ActionController 设定授权访问,只需要在 ActionController[AppAuthorize][Authorize] 特性即可。

如果需要对特定的 ActionController 允许匿名访问,则贴 [AllowAnonymous] 即可。

15.4.1 全局授权

services.AddJwt<JwtHandler>(enableGlobalAuthorize:true);

15.4.2 匿名访问

如果需要对特定的 ActionController 允许匿名访问,则贴 [AllowAnonymous] 即可。

15.5 自动刷新 Token

15.5.1 后端登录部分

当用户登录成功之后,返回 accessToken 字符串,之后通过 JWTEncryption.GenerateRefreshToken() 获取 刷新Token,并通过响应报文头返回,如:

// token
var accessToken = JWTEncryption.Encrypt(new Dictionary<string, object>()
            {
                { "UserId", user.Id },  // 存储Id
                { "Account",user.Account }, // 存储用户名
            });
// 获取刷新 token
var refreshToken = JWTEncryption.GenerateRefreshToken(accessToken, 30); // 第二个参数是刷新 token 的有效期,默认三十天
// 设置请求报文头
httpContextAccessor.HttpContext.Response.Headers["access-token"] = accessToken;
httpContextAccessor.HttpContext.Response.Headers["x-access-token"] = refreshToken;

用户登录成功之后把 accessTokenrefreshToken 一起返回给客户端存储起来。

15.5.2 后端授权 Handler 部分

using Furion.Authorization;
using Furion.Core;
using Furion.DataEncryption;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using Microsoft.Extensions.DependencyInjection;
using System.Threading.Tasks;
namespace Furion.Web.Core
{
    /// <summary>
    /// JWT 授权自定义处理程序
    /// </summary>
    public class JwtHandler : AppAuthorizeHandler
    {
        /// <summary>
        /// 重写 Handler 添加自动刷新收取逻辑
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public override async Task HandleAsync(AuthorizationHandlerContext context)
        {
            // 自动刷新 token
            if (JWTEncryption.AutoRefreshToken(context, context.GetCurrentHttpContext()))
            {
                await AuthorizeHandleAsync(context);
            }
            else context.Fail();    // 授权失败
        }
        /// <summary>
        /// 验证管道,也就是验证核心代码
        /// </summary>
        /// <param name="context"></param>
        /// <param name="httpContext"></param>
        /// <returns></returns>
        public override Task<bool> PipelineAsync(AuthorizationHandlerContext context, DefaultHttpContext httpContext)
        {
            // 检查权限,如果方法时异步的就不用 Task.FromResult 包裹,直接使用 async/await 即可
            return Task.FromResult(true);
        }
    }
}

15.5.3 客户端部分

客户端每次请求需将 accessTokenrefreshToken 放到请求报文头中传送到服务端,格式为:

Authorization: Bearer 你的token
X-Authorization: Bearer 你的刷新token

特别注意

在正常开发中,refreshToken 无需每次请求携带,而是 accessToken 即将过期之后携带即可。可以在客户端自行判断 accessToken 是否即将过期。

如果 Token 过期,那么 Furion 将自动根据有效期内的 refreshToken 自动生成新的 AceessToken,并在 响应报文头 中返回,如:

access-token: 新的token
x-access-token: 新的刷新token

存储新的 Token

前端需要获取 响应报文头 新的 token 和刷新 token 替换之前在客户处存储旧的 token 和刷新 token。

15.6 获取 Jwt 存储的信息

// 获取 `Jwt` 存储的信息
var userId = App.User?.FindFirstValue("键");

注意引入 System.Security.Claims 命名空间

一、云计算-云平台-国产-华为-FusionSphere+HCIE Cloud相关知识点+笔试题库
stqer的博客
08-14 3010
什么是FusionCompute为什么用FusionComputeFusionCompute由什么组成FusionCompute能提供哪些功能华为FusionSphere 6.3云操作系统架构FusionSphere 6.3虚拟化场景变化一览表兼容行业特殊操作系统灵活的管理架构,规模大小自如OpenStack是什么OpenStack社区项目分层OpenStack核心服务的逻辑关系图FusionCompute功能简介FusionCompute故障概览信息收集工具ELK信息收集工具收集。............
使用jwt生成token登录
HolmesW的博客
04-15 274
使用jwt生成token登录 导入jwt的依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> 生成token和解析token的工具类(
.net5实现JWT(利用Furion),含Fiddle教程
极客神殿
11-07 2960
1 开始 , 首先这里要感谢以下两位大佬的资料。 1.1 百小僧 Furion开源框架提供的技术支持。 https://gitee.com/monksoul/Furion, 有兴趣的同学可以start. 1.2 QiXiao_柒小(東) 的文章 https://www.cnblogs.com/7tiny/archive/2019/06/13/11012035.html 有兴趣的同学可以评论。 1.3 项目地址:https://gitee.com/zero530/fur-jwtdemo 2 创建项目,利用Fu
【Python Flask JWT认证实战指南】:从零搭建安全的REST API身份验证系统
最新发布
PoliSeed的博客
10-16 700
掌握Python Flask JWT认证实战技巧,手把手教你构建安全的REST API身份验证系统。涵盖用户登录、令牌签发与验证流程,基于PyJWT实现无状态认证,提升接口安全性。适用于前后端分离项目开发,值得收藏。
开发框架Furion之WebApi+SqlSugar (一)
热门推荐
liwan09的博客
05-17 1万+
MyFurion.Model项目中,通过Nuget添加FurionFurion.Extras.DatabaseAccessor.SqlSugar、Furion.Extras.ObjectMapper.Mapster、SqlSugarCore,同时添加对项目MyFurion.Unility的引用。在MyFurion.Start项目中,通过Nuget添加 AspNetCoreRateLimit、System.Linq.Dynamic.Core,同时添加对项目MyFurion.Application的引用。
开发框架Furion之Winform+SqlSugar
liwan09的博客
04-25 6761
分别创建项目名称为MyFurion.WFSqlsugar.Model(实体类库)、MyFurion.WFSqlsugar.Setup(service注册类库)、MyFurion.WFSqlsugar.Application(仓储业务类库)三个子项目。添加Furion.Extras.DatabaseAccessor.SqlSugar、System.Configuration.ConfigurationManager、System.Linq.Dynamic.Core。创建基类BaseEntity.cs类。
ASP.NET CORE JWT 双token刷新认证
begeneral的专栏
08-25 3429
一般情况下我们使用一个token来认证,但是这样的话有一个问题:服务端生成的token的有效期是固定的,默认20分钟。当用户在界面上操作了20分钟以后,这个token就失效了,系统会返回401认证失败,这个情况在我看来是不太合理的。比如用户在执行添加操作,在提交的时候告诉你认证失败了,重新登录后之前添加的内容就要重新写一次,那他肯定要抓狂了,嘴里骂着这是什么烂软件。刷新token的有效期默认是30天,可以自定义。......
独立完成系统开发七:安全管理之鉴权
呵呵彡的博客
05-24 5038
独立完成系统开发七:权限之鉴权 shiro鉴权
华为FusionStorage 8.0对象存储技术白皮书.pdf
05-04
存储业务安全则包括认证和鉴权、访问控制、数据传输安全和对象访问审计等。 兼容性是FusionStorage 8.0的另一优势,它支持与主流协议、大数据平台、备份归档软件平台、云存储网关以及集中管理平台的兼容。 最后,...
华为FusionStorage 8.0对象存储技术白皮书
05-04
安全特性涉及操作系统加固、安全补丁、Web安全、平面隔离、安全传输通道、访问控制、认证鉴权和防病毒措施等。 ### 结语 华为FusionStorage 8.0作为一款面向未来的分布式存储产品,不断融合华为在云存储、大数据等...
华为FusionStorage HDFS大数据存储Data Sheet.pdf
09-23
同时,系统支持创建多个命名空间(namespace),这使得FusionStorage可以对接多套计算集群,支持计算集群间的鉴权隔离,实现数据的逻辑隔离。这样一来,每个namespace可以实现空间的灵活分配和存储能力的共享,满足...
Furion 搭建 webapi
03-25
1、根据 Furion 框架搭建的 .net core 5.0 webapi demo 项目 2、demo 包含数据库以及创建的脚本,下载即可运行 3、EF 已经搭建配置好,如果有疑问,可以看我文章教程 4、demo中的Services和 Repository 做依赖注入已经搭建完成 5、EF 的配置 和 Services与Repository 依赖注入以及调用 可以参考
【Fusion虚拟化】随堂笔记9.docx
11-19
【Fusion虚拟化】随堂笔记9主要涵盖了OpenStack组件及其功能、OpenStack中的网络服务、Cinder卷创建流程以及虚拟机的创建过程,并提到了高可用性(HA)的概念。以下是这些知识点的详细说明: 1. **OpenStack组件**...
Furion框架简单鉴权使用
weixin_44599955的博客
12-05 1173
在授权过程中,如果凭据匹配,则用户身份验证成功,可执行已向其授权的操作。授权指判断允许用户执行的操作的过程。也可以将身份验证理解为进入空间(例如服务器、数据库、应用或资源)的一种方式,而授权是用户可以对该空间(服务器、数据库或应用)内的哪些对象执行哪些操作。鉴权方式有很多种,这里介绍的是使用Token方式鉴权,也就首次登录的时候后端返回Token,在后续请求的过程中请求头必须携带该Token进行访问,Furion框架回自动验证Token是否合法,不合法则返回401(鉴权失败)鉴权实际上就是一种身份认证。
微服务架构下的安全认证与鉴权
m0_37541228的博客
08-15 987
从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断地经受考验。为了适应架构的变化、需求的变化,身份认证与鉴权方案也在不断地变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证是个难题。面对外部的服务访问,如何提供细粒度的鉴权方案也是个难题。 单体应用VS微服务 随着微服务架构的兴起,传统的单体应用场景下的身份认证和鉴权面临的挑战越来越大。 在单体应用体系下,应用是一个整体,一般针对所有的请求都会进行权限校验。请求一般会通过一个权限的拦截器进行权限的校验,在登陆时将用户
安全机制(认证、鉴权、准入控制)
2201_75549363的博客
11-20 881
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以。,需要通过三关①、64438080。
新版onenet平台安全鉴权的确定与使用
qq_44005305的博客
03-18 1139
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
使用.NET Furion实现用户登录与权限管理功能
Drgeqian的博客
08-29 1246
.NET Furion中实现用户登录与权限管理功能,通常需要以下步骤:创建用户模型:首先,我们需要创建一个用户模型,该模型应包含用户名、密码和角色等属性。创建用户服务:然后,我们需要创建一个用户服务,该服务将负责处理用户的登录请求和权限验证。创建登录控制器:接下来,我们需要创建一个登录控制器,该控制器将处理用户的登录请求,并调用用户服务进行身份验证。创建权限服务:我们还需要创建一个权限服务,该服务将负责检查用户是否具有执行特定操作的权限。
现在我提出一个问题,通过设备唯一标识符,可以做到dongle和终端设备绑定,在满足安全性要求的同时,又保证了设备使用便利性。但是由于可连接的设备种类众多,且部分设备无法获取到设备唯一标识符,如苹果手机无法直接获取到UDID,安卓手机无法通过第三方应用直接获取IMEI。因此,使用设备指纹来替代设备唯一标识。 设备指纹包含所连接设备的硬件特征和系统特征,如设备名称,处理器信息,系统版本,电池容量,存储空间大小,设备型号,基带版本,内核版本,时区信息,语言设置,IDFV(IOS特有),ANDROID_ID(安卓特有),OAID(安卓特有)等。对于无法获取的特征则直接跳过。 每个特征项都有一定的分值,其中重要特征项如处理器信息分值较高,非重要特征项分值较低。 赋分规则: 一级信息占20分(很难修改的信息):设备型号,机型代码,处理器,MAC地址,电池容量,存储空间,内存信息,屏幕信息,IDFV,ANDROID_ID,OAID,显卡,主板等 二级信息信息占10分(平时较少改动的信息):系统版本,基带版本,内核版本,安全补丁信息等 三级信息信息占5分(可通过软件修改的信息):设备名称,时区信息,语言设置,屏幕分辨率等 按照能够获取到的信息,全部相加即为总分,阈值线为总分的百分之八十。 鉴权方法:dongle通过应用程序获取到所连接设备的设备指纹,获取到的设备指纹和已存入的设备指纹比较,所有特征项比对完毕后计算分值。如果分值未达到阈值,则禁止使用dongle相关功能。如果分值达到阈值,则允许使用相关功能。结合以上技术表述并选择哈希算法进行验证,要求分别对以上三个模块实行分区验证,每个区域的验证方式不同,通过将以上信息的改变难易实现分类,
08-06
指纹生成采用加权哈希融合(Weighted Hash Fusion): 1. **特征预处理**:对每个特征 $f_i$ 进行标准化(如转为小写、去除空格),然后计算其SHA-256哈希值 $H_i = \text{SHA256}(f_i)$。 2. **加权融合**:将...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值