Web API with individual account and local login in ASP.NET Web API 2.2

Web API with individual account and local login in ASP.NET Web API 2.2

這一篇文章是使用 OAtuh2

OAuth2 的專有名詞:

  • Resource : 想要藏起來的 data
  • Resource server : 把 Resource 存起來的地方
  • Resource owner : 允許誰能夠進來拿到 Resource
  • Client : 想要 Resource 的人, (web browser)
  • Access Token : 許可證, 表示證明你可以進入拿到 Resource
  • Bearer Token : 許可證的一種, 任何人只要拿到這一個許可證就可以進去拿 Resource, 看卡不看人, 有卡就可以
  • Authorization server : 發放 Access Token 的 server

Local Login Credential Flow

  1. 使用者登入帳密
    2.Client, 這裡的 Client 是 Web Browser, 把使用者的帳密拿去給 Authorization Server 做比對
    3.Authorization Server 做比對完之後, 會發放一個 Access Token 給 Client

4.Client 再把這一個 Access Token 塞到 Http Request 的 header 來拿到這一個機密的 Resource

Individual Accounts

如果選擇 Individual Accounts 在 Web API 的 Authentication, 專案會有一個比對 User Credentials 和 Access Token 的Authentication Server, 在這一個時候, Web API Controller所扮演的腳色就是上述所說的 Resource server (把資料存起來的地方),
Authentication Filter 會比對 Access Token, 以及被 [Authorize] 所保護的 classes 或者是 actions, 當 Controller 的 class 有 [Authorize] 這一個 Attribute, 每一個 request 都要被認證之後才能拿到 Resource, 要不然會回傳 401 Error (Unauthorized)

https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/individual-accounts-in-web-api#local-login-credential-flow

留言

張貼留言

這個網誌中的熱門文章

ASP.NET Web API - DTOs

圖片
大部分來說, 想要拿到 DB裡面的資料可以直接去 DB拿, 但是這樣會有缺點, 假設資料庫有密碼, 地址, 這一些比較隱密的資訊, 而且這一些資料並不需要透過 API 傳給其他的服務, 那麼直接去 資料庫拿資料就不會是一個好方法 所以DTO就是先過濾掉有需要的資料給其他的 Services,然後再把這一些資料給需要的 Clients 定義 A DTO is an object that defines how the data will be sent over the network. GET: AutoMapper 上面的例子是我們手動產生 DTO 的 class, 但是在真實世界中會用 AutoMapper 來自動產生我們所想要的 DTO ​
閱讀完整內容

Scaffold Identity into the Current Project

圖片
適用 .NET Core v3 1.打開SqlServer, 並在 DB run 以下這一個 script https://gist.github.com/akatakritos/96b0c3136f8498246fa810d393927f04 2.在 Models folder 裡面加入 ApplicationUser 和 ApplicationRole class 3.打開自己的 DBContext, 並且把繼承後面的 DBContext 改成 IdentityDbContext<ApplicationUser, ApplicationRole, string> , 並且在同一個 DBContext 檔案裡面, 下面的 method 是 OnModelCreating() , 在裡面加入 base.OnModelCreating(modelBuilder); 4.去 Startup.cs 的 ConfigureServices register 這一個 ApplicationUser 跟 ApplicationRole 5.去 _LoginPartial.cshtml inject ApplicationUser 6.最後執行這一段 script INSERT INTO AspNetRoles (Id, Name, NormalizedName) Values ('1', 'Administrator', 'Administrator'); INSERT INTO AspNetRoles (Id, Name, NormalizedName) Values ('2', 'Customer', 'Customer'); Insert INTO AspNetUserRoles (RoleId, UserId) (Select '1', Id from AspNetUsers); ​
閱讀完整內容

Passing data from controller to the view

圖片
ViewData : 是一個 key value 的 dictionary, key 的 data type 規定是 string, ViewData 的 life time value 只會存在這一個 current request ViewBag : 是一個 dynamic typed, 可以裝任何的 typed using set method, 也可以直接 get 裡面所裝的 object, life time 的 value 只會存在這一個 current request TempData : 跟 ViewData 一樣是 key-value dictoinary, 但是 life time value 會持續到 next request, 比較常用的是在 redirect 時要記得 model 的 state 使用方法: 可以把 ViewBag 的 key 叫做 Product, 並且 assign 一個 product object 給 ViewBag , 這裡只是使用方便, 所以直接 hardcode product, 一般的狀況要用 LINQ 去 database 拿資料, 並且在 assign 最後在 Views/Details.cshtml 來拿到這一個 ViewBag 裡面的東西 ​
閱讀完整內容