什麼是Claims?
這個直接閱讀其他大神些的文章吧,解釋得更好。
相關文章閱讀:
claims 姑且叫做聲明,可以理解爲和用戶相關的一條一條信息的描述,可以是用戶的身份信息(Name,Email,ID)也可以是用戶的角色,甚至是一些自定義的Claims
關於Claims 和 Claims - base, 博客園的講述已經很多了, 可以查閱相關文章。這裏只是介紹如何給予Asp.net Identity Claims 來實現業務系統的權限驗證。
在使用Identity做爲系統的登陸和權限驗證時,常常會用到角色,其實角色也是一種Claims, 而且角色的驗證也是ClaimsBase的。
新建一個asp.net core Web Application 項目,修改驗證類型爲: Individual User Accounts。使用默認的項目模板
默認的項目模板已經爲我們集成好了基於Asp.net identity的 登陸驗證功能。
運行項目,註冊用戶,登陸。
爲了驗證角色也是基於Claims的,我們並沒有爲用戶設置角色。
現在想在訪問Action時,添加上基於角色的驗證。
顯然是 無法訪問 home/index的。
原因是因爲我們並沒有爲用戶添加“MyRole”這個角色。
假如我們並不想爲用戶添加一個"MyRole"的角色,而是想在用戶登錄時,爲用戶添加一個 ClaimType 爲 Role的 Claims ,看看是否能通過驗證。
OK, 來試試看。
重要對象:Claims, ClaimsIdentity ClaimsPrincipal
可以這樣理解;
Claims:
ClaimsIdentity: 可以這樣理解,一組Cliams 就構成了一個Identity,比如身份證:姓名,性別,身份證號,等一系列Claims組成了一個identity
ClaimsPrincipal: ClaimsIdentity的持有者。一個ClaimsPrincipal可以持有多個ClaimsIdentity。
瞭解了這些概念後,我們就知道如果要給用戶添加新的/自定義的Claims該往哪加了。
而 asp.net Identity在登陸時,會通過 UserClaimsPrincipalFactory 的 CreateAsync,來創建 ClaimsPrincipal。
那麼我們需要做的,就是繼承UserClaimsPrincipalFactory, 自定義一個AppClaimsPrincipalFactory
並重寫 CreateAsync方法
public class AppClaimsPrincipalFactory:UserClaimsPrincipalFactory<ApplicationUser,IdentityRole>
{
public AppClaimsPrincipalFactory(UserManager<ApplicationUser> userManager,
RoleManager<IdentityRole> roleManager,
IOptions<IdentityOptions> optionsAccessor) : base(userManager, roleManager, optionsAccessor)
{
}
public async override Task<ClaimsPrincipal> CreateAsync(ApplicationUser user)
{
var principal = await base.CreateAsync(user);
((ClaimsIdentity)principal.Identity).AddClaims(new[] {
new Claim(ClaimTypes.Role, "MyRole")
});
return principal;
}
}
在CreateAsync 方法中,先調用base.CreateAsync()方法,獲取一個ClaimsPrinciapl對象,然後再往ClaimsPrincipal。Identity中 添加我們想要的自定 Claims。
如圖, 我們加入 new Claim(ClaimTypes.Role, "MyRole")
然後在Start Up 方法中,將重寫的AppClaimsPrincipalFactory 注入到服務中
public void ConfigureServices(IServiceCollection services)
{
// Add framework services.
services.AddApplicationInsightsTelemetry(Configuration);
services.AddDbContext<ApplicationDbContext>(options =>
options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection")));
services.AddIdentity<ApplicationUser, IdentityRole>()
.AddEntityFrameworkStores<ApplicationDbContext>()
.AddDefaultTokenProviders();
services.AddScoped<IUserClaimsPrincipalFactory<ApplicationUser>, AppClaimsPrincipalFactory>();
services.AddMvc();
// Add application services.
services.AddTransient<IEmailSender, AuthMessageSender>();
services.AddTransient<ISmsSender, AuthMessageSender>();
}
啓動,運行,home/index頁面可以正常訪問了。
可以得知,Role 也是基於 Claims base的。
既然自定義的Claims 也能完成權限驗證,那麼在業務系統中,也通過各種Claims來完成各種權限驗證。類似於,登陸系統後,系統給你發放各種證件,然後就可以通過你所擁有的證件,在系統中通行了。
接下來,我們根據業務需要,來定製各種Claims,完成權限驗證