问题标签 [custom-authentication]

我正在开发一个 MVC 项目。我想使用自定义授权属性。首先，我在这篇博文中使用了一个示例。

我在我的基本控制器中使用这个自定义主体。

在我的路由配置中，我的默认路由是/Account/Index用户登录操作的位置。这是帐户控制器索引操作。

如您所见，当用户处于管理员角色时，此操作将重定向用户，/Admin/Index否则/Upload/Index。但是在我登录用户具有用户角色并输入/Admin/Index后，授权过滤器不起作用，用户可以访问管理页面。

尽管我已将这个属性添加到 UploadController 和 AdminController，但仍会发生此错误。我怎样才能解决这个问题 ？

我读到使用 Firebase 可以允许用户通过将身份验证提供程序凭据链接到现有用户帐户来使用多个身份验证提供程序登录我的应用程序。是否可以链接自定义身份验证提供程序，例如 Linkedin？我读到我需要将 AuthCredential 对象传递给登录用户的 linkWithCredential 方法，但我没有找到自定义 AuthCredential。

我正在尝试设置 SSRS 以使用 DotNetCasClient.dll。当我尝试合并这两个指令集时，其中一个展示了如何在使用 IIS .NET 框架时使用 CAS 身份验证。另一个是如何使用自定义表单身份验证。有没有人让这个工作？

https://msdn.microsoft.com/en-us/library/cc281383.aspx?f=255&MSPPError=-2147217396

和

https://wiki.jasig.org/display/casc/.net+cas+client

我为 Windows-7 登录创建了一个子身份验证包。它成功地用于本地帐户登录。然后我尝试在 Windows server 2008 r2 中为活动目录实现相同的子身份验证包。我将我的 DLL 放在Windows\System32\文件夹中，并修改了 Kerberos 的注册表值，因为这个Microsoft 文档解释了子身份验证 dll。

我设置的值在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\KerberosValue:中Auth0设置为C:\Windows\System32\SubAuth.dll（我在这里吗？）。

但是在进行身份验证时，我注意到我的子身份验证包没有被调用，因为在针对 AD 对客户端计算机上的用户进行身份验证时，我没有被要求提供第二个因素。

我是否在设置中遗漏了某些内容，或者我的子身份验证包中必须更改某些内容。

如果我错过了这里的任何信息，请告诉我。

PS：子身份验证包是根据 Microsoft 的凭据提供程序文档开发的（在 Msv1_0SubAuthenticationFilter 例程中）。

我们公司使用带有 java 代码的 jar 文件来验证用户访问内部网站的权限。到目前为止，我已经能够将该 jar 文件集成到允许用户登录的设计策略中。但是，当我运行代码时，我得到了成功的登录/重定向，然后是未经授权的/重定向登录。

我假设这是我的 user.rb 中“:database_authenticable”行的一部分。

用户.rb：

Custom_authenticable 策略

但是，当我从 :database_authenticatable 更改为 :custom_authenticatable 时，我不再有 users/sign_in 路由。

路由为 :database_authenticable

路由为 :custom_authenticable

我对如何继续感到有些茫然。我还发现 OmniAuth 可能允许我做同样的事情，尽管我不确定如何设置回调阶段。是否值得我花时间继续尝试允许登录的设计策略路径，还是应该停止我正在做的事情并使用 OmniAuth？

如果值得我花时间继续设计路线，接下来的步骤是什么？

这是我第一次设置 Devise，因为我过去的大部分 Rails 经验都是在过去修改现有的 Rails 应用程序。提前致谢。

参考：（我会包含所有参考的链接，但我缺乏足够的声誉点来发布更多链接）

制定身份验证策略

如何使用设计和看守创建自定义身份验证策略 https://www.ldstudios.co/blog/2016/06/15/how-to-create-custom-authentication-strategies-with-devise-and-warden.html

为 OmniAuth 编写非 Gemified 策略 http://www.polyglotprogramminginc.com/writing-a-non-gemified-strategy-for-omniauth/

编辑我实际上非常接近答案。我没有正确设置 Devise 并直接访问 Warden，这就是我能够“登录”然后立即退出我的应用程序。

config/initializers/devise.rb （错误的方式）

这导致 custom_authenticatatable 代码被调用，但仍在尝试为用户使用本地数据库。当我对 devise.rb 进行以下更改（如 ldstudios 博客中所述）时，它开始按预期工作。

config/initializers/devise.rb （正确的方式）

我正在开展一个项目，我们正在加强我们站点区域（模块）内的安全性。我们总共有 5 个模块，所有 5 个当前共享相同的自定义授权属性类，该类执行三项检查。

1. 您是否同意接受条款？是的，继续执行 2。不，您是未经授权的并被扔到未经授权的页面。
2. 你是网站的会员吗？是的，继续执行 3。不，您是未经授权的并被扔到未经授权的页面。
3. 您的角色是否允许在此模块中使用？是的，继续。不，您未经授权并被扔到未经授权的页面。

目前 5 个模块的类由这个自定义授权属性修饰，并检查了它们的各个角色（3/5 模块有一个单独的角色，而其他 2 个有多个，一个有 4 个，一个我是发布关于现在有 3 个）。然而，随着我们在 1 个模块中加强安全性，如何去做就成了一个问题。我们正在更改的这个模块有 3 个角色（只读、用户、管理员）。

• 只读：听起来是这样。没有添加/编辑/删除权限。
• 用户：具有读取权限并且可以添加/编辑/删除等待其他权限检查。
• 管理员：随你便。您可以添加/编辑/删除并进入仅限管理员区域。

用户也是一个特殊情况，因为它有一组辅助检查，其中包括检查最多 2 个其他列表中的权限（始终检查两个列表中的一个，而另一个用于一个选择区域）。

我的问题是，由于这种安全性在原始自定义授权属性之外并且取决于这个模块，我应该创建一个新的自定义授权属性，还是应该修改原始属性？

我最初的想法是删除该模块的类范围装饰，并将其应用于每个方法。走这条路更有助于将新逻辑添加到当前的自定义授权属性中。

但是，那里有一个问题。为管理员和只读用户执行此操作效果很好，但问题在于用户案例。用户必须进行二次检查以查看他们是否有权访问他们将要查看的特定记录。如果他们不这样做，他们可以像只读用户一样在那里，但不能编辑。

由于该条款，我有点不确定是否有一个私有方法来进行检查与自定义授权属性。

任何方向或想法将不胜感激。谢谢。

我有一个系统，它使用内置的身份系统来验证管理部分的用户。

我想让其他用户通过外部 Web 服务登录，但想知道我是否可以为他们创建一个不同的用户类，并仍然利用 [Authorize] 属性等内置功能。

假设自定义类如下所示：

我会将此用户添加到一个角色中，例如“customUser”，所以在控制器中我想使用这样的授权属性：

这可能吗，有一个自定义用户类并手动验证他吗？

我目前有一个通过我们的 API 网关的 API，它附加了多个自定义授权器 -LiveAuthorizer和TestAuthorizer.

我想根据正在访问的阶段更改我的自定义授权者，就像阶段变量一样。如果我们在阶段测试，使用TestAuthorizer，如果在现场使用LiveAuthorizer.

从我的研究和这个页面来看，这似乎是不可能的，有什么想法吗？

PS - 我知道这可以从进行身份验证的 Lambda 函数中处理，我只是好奇是否有另一种方法（类似于阶段变量）。

嗨 Stackoverflow 团队，

我在我的 REST 调用中遇到了一个问题，在尝试深入研究 HTTP 错误后我对此一无所知。即使 JWT 令牌的生成和获取成功，授权也无法正常工作。

我在 Springboot 应用程序中的简短描述：（ 可用于分析问题） https://github.com/vivdso/SpringAuthentication

1. 与名为 UserAccounts 的后端 MongoDb 集合对话的 DbRepository 调用，其中存储了角色和凭据详细信息，包括密码（密文）。

2. 一种 JWT 令牌生成机制，它返回一个令牌，该令牌必须附加到后续 API 调用的 HTTP 标头。

简而言之就是流量。

".....:8080/auth" 方法 post Content-Type application/json body:{"username":"user","password":"sample"} 响应应该是一个 jwt 令牌

接着

尝试经过身份验证的 url .....:8080/order。

****预期结果：标题“授权：{$jwtToken from step 6}实际结果：:(错误：403禁止，这应该是完全认证的，应该让用户访问这个api。预期结果：“你好，这是我的命令”****

这只是一个简单的应用程序，无需担心太多细节。任何帮助将不胜感激。

提前致谢。

我正在使用带有 C# 后端的 Xamarin.Forms 重写我们的应用程序，并且我正在尝试在登录时使用 customauth。我已经让它工作到一定程度，但我正在努力将我想要从后端传递回 Xamarin 应用程序的一切。我正在获取令牌和用户 ID，但想要更多。

成功登录的后端代码似乎相对简单：

其中 GetLoginResult() 是：

LoginResult 类是

ETC

在应用程序中，我调用 customauth 如下：

结果具有令牌和正确的用户 ID，但是如何使用后端传回的其他属性填充结果？我已经让后端工作并使用邮递员进行了测试，我得到的结果是我想要的，但我一直无法找到如何在应用程序中对其进行反序列化。