authorization相关内容

.Net core 应用程序无法从 Microsoft Graph API 获取用户详细信息?

Net 核心 Web API 项目.我在 azure AD 中为 Web API 应用程序注册了应用程序.我配置了 swagger 并在 Azure AD 中注册了另一个应用程序.我正在尝试基于组对我的 webapis 进行授权.在 appsettings.json 我有所有的值. 下面是我的初创公司的样子. public void ConfigureServices(IServiceCo ..
发布时间:2021-11-24 19:33:18 C#

Asp.Net Core WebApi:授权属性错误 403

我在 Asp.Net Core WebApi 项目中工作并创建了一个角色 “admin" 并将其添加到我的用户.但是如果我以管理员身份登录,第一个方法将返回“This is admin!",而第二个方法返回错误 403 Forbidden. 如果我从 Authorize 属性中删除 Roles 参数,一切都会好起来的.我不明白为什么我无法访问第二种方法,因为我的用户具有管理员角色. //主 ..
发布时间:2021-11-24 16:11:24 C#/.NET

ASP 核心通过外部(自定义)服务登录

我正在寻找如何实施身份验证和授权的正确方法.如果我理解得很好 - 这应该通过“身份"来实现.- 它提供了我需要的这两种东西. 我的问题是我不能使用数据库.我必须使用一个服务(WCF 服务,我们的内部 DDL 连接到我们的系统),它只能登录(我给它用户名和密码),登录后我可以获得权限列表. 我已经看过如何自定义 UserStore、RoleStore、UserManager 和 Sign ..
发布时间:2021-11-24 14:51:59 C#/.NET

.NET Core API 中的自定义授权过滤器

我想在使用我的核心 api 访问任何数据之前授权用户,所以我尝试使用 JWT 身份验证.我在使用 api 登录用户时成功生成了令牌并将该令牌保存在会话中的客户端,现在每当用户想要使用 api 访问任何数据时,我都会将该令牌发送到 api 中,并且我想验证该 JWT 令牌使用自定义授权过滤器.我创建了自定义授权过滤器并将其应用于我的 GetMenu api,我能够成功验证该令牌,但在授权过滤器中进行 ..
发布时间:2021-11-24 14:44:14 C#

.NET Core API 中的自定义授权过滤器

我想在使用我的核心 api 访问任何数据之前授权用户,所以我尝试使用 JWT 身份验证.我在使用 api 登录用户时成功生成了令牌并将该令牌保存在会话中的客户端,现在每当用户想要使用 api 访问任何数据时,我都会将该令牌发送到 api 中,并且我想验证该 JWT 令牌使用自定义授权过滤器.我创建了自定义授权过滤器并将其应用于我的 GetMenu api,我能够成功验证该令牌,但在授权过滤器中进行 ..
发布时间:2021-11-24 14:42:32 C#

如何使用 Microsoft Graph API 获取 .net 核心应用程序中的所有授权组?

我正在从事 .net 核心项目.我正在尝试使用 AD 组实现授权.我的要求是,我在azure 广告中有很多组.如果当前用户属于 azure ad 中的任何可用组,那么我想授权这些用户访问以 .net core 应用程序编写的 api.我试过如下.我在下面添加了两个类 公共类 IsMemberOfGroupHandler : AuthorizationHandler{受保护的覆盖任务 Handl ..
发布时间:2021-11-24 12:57:26 C#

ClaimsAuthorizationManager 从数据库中提取策略

我不熟悉用于授权用户访问资源的声明安全方法.我一直在进行大量研究,并且我读过的大多数站点都在 Web.config 文件中输入了 ClaimsAuthorizationManager 的策略.有哪些方法可以实现这一点?你能指出一些从数据库提供政策的链接吗?谢谢. 解决方案 我也遇到了同样的问题.希望这些链接对您有所帮助.我所做的是实现我自己的 ClaimsAuthorizationMana ..
发布时间:2021-11-24 10:01:18 C#

什么被认为是“最佳实践"?用于 WPF 和 WCF 应用程序的用户身份验证/授权?

假设我有一个 .NET 富客户端 (WPF) 应用程序,它将同时部署在 3 个不同的场景中: 客户和服务器代码在单个进程中运行 客户端代码在 Intranet 计算机上运行,​​并通过 WCF 与运行应用/域/基础架构代码的服务器计算机通信 与#2 相同,但客户端可以在防火墙之外的机器上运行.自定义用户列表 &角色应集中维护(即凭据不基于 Windows 登录) 为此应用程序实施相 ..
发布时间:2021-11-17 02:55:39 其他开发

授权逻辑应该集中还是分散?

我们有一个用于验证用户身份的 SSO 系统. 我们对这两个选项进行了辩论: 我们是否应该将每个应用程序的授权集中到一个数据库(或任何其他单一解决方案)并检索 SSO 请求中的信息 每个 Web 应用程序客户端都应该在本地数据库/方案中管理自己的授权逻辑. 解决方案 您应该努力将您的业务逻辑与非功能性需求(例如身份验证、日志记录,当然还有授权)分离. 您已经实施了 S ..
发布时间:2021-11-17 02:52:05 Java开发

API网关是否应该负责授权?

目前我有一个带有 Java/Spring Boot 的单体应用程序,具有以下端点: /login /注销 /some-resource 访问some-resource,流程如下: 用户向 /login 端点发出 POST 请求.如果凭据正确,则在标头中返回 JWT 令牌,否则返回 401. 用户将 JWT 令牌与请求一起发送到 /some-resource.如果令牌有效,则 ..
发布时间:2021-11-17 02:46:45 其他开发

在微服务架构中组织授权的最佳实践?

例如,我有 3 个服务: 身份验证 卖家 买家 他们每个人都有自己的数据库、模型、服务......等 身份验证服务了解用户、用户组、角色、权限并创建令牌. 我应该在哪里存储卖家/买家实体?关于身份验证服务,还是关于卖方/买方服务? 卖方/买方服务应如何交互以创建新的卖方/买方实体? 卖方/买方服务应如何检查权限? 卖家和买家实体有一些共同的字段:姓名、 ..
发布时间:2021-11-17 02:02:14 其他开发

Tastypie 自动注销

我正在使用 Tastypie 创建基于 Django 1.4.3 的 API.我使用 ApiKey 来验证用户.默认 ApiKey 不能过期.但是在 apikey 表中有带有日期时间的列 created .即使我将其更改为 2010 年份,密钥仍然有效. 我的问题是如何以最简单的方式使 created 列有用并禁止访问超过 24 小时的密钥,这是否有意义? 目前我不知道如何才能实现这一 ..
发布时间:2021-11-15 21:10:17 Python

谷歌地图 api 在本地主机上工作,但在网络服务器上不起作用

我使用谷歌地图 api 在地图上选择一些点并找到最短的行车路线. 一切都在本地主机上工作,但是当我发布并上传到服务器时,它不起作用...... 为什么会这样?没有任何错误.地图即将出现在页面上,但我看不到标记,并且 directionResult 无法加载结果.是关于授权吗?我有有效的帐户和 api 密钥等.我允许引用我的域. 编辑:我用 crome JS 调试器检查脚本.这里没 ..
发布时间:2021-11-15 21:09:17 其他开发

WCF 安全模型的概念概述?

我目前正在使用 WCF,并尝试实现基于 API 密钥和签名的自定义安全模型(类似于 Facebook/Flickr/OAuth 等的工作方式). 有一些类,如 ServiceAuthorizationManager、SecurityToken、SecurityTokenValidator、IAuthorizationPolicy 等,但我似乎找不到任何关于它们如何协同工作或 WCF 概念安全 ..
发布时间:2021-11-15 21:06:28 其他开发