c# - 使用 Shibboleth 的 asp.net MVC 身份验证

转载作者：太空狗更新时间：2023-10-29 22:58:27

24

4

Shibboleth 是作为“插件”添加到 IIS 的 SSO 身份验证。用户完成登录后，会出现显示 Shibboleth session 的标题:ShibSessionIDShibIdentityProvidereppn联系权利未界定的隶属关系...更多

所以我可以从标题中提取用户名和角色。到目前为止一切顺利。

问题:我如何实现一个处理程序来读取标题并设置用户被授权的状态？想法是使用[授权]属性和方法角色.IsUserInRole。全部来自标题，没有数据库，没有用户管理。

更新

根据@Pharylon的回答实现

本次更新没有什么新内容，只是对复制过去的 friend 的帮助。当然，您必须根据您的 Shibboleth 设置调整属性和标题字段名。

文件:ShibbolethPrincipal.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Security.Principal; //GenericPrincipal

namespace Shibboleth
{
    public class ShibbolethPrincipal : GenericPrincipal
    {
        public string username
        {
            get { return this.Identity.Name.Replace("@ksz.ch", ""); }
        }

        public string firstname
        {
            get { return HttpContext.Current.Request.Headers["givenName"]; }
        }

        public string lastname
        {
            get { return HttpContext.Current.Request.Headers["surname"]; }
        }

        public string phone
        {
            get { return HttpContext.Current.Request.Headers["telephoneNumber"]; }
        }

        public string mobile
        {
            get { return HttpContext.Current.Request.Headers["mobile"]; }
        }

        public string entitlement
        {
            get { return HttpContext.Current.Request.Headers["eduzgEntitlement"]; }            
        }

        public string homeOrganization
        {
            get { return HttpContext.Current.Request.Headers["homeOrganization"]; }            
        }

        public DateTime birthday
        {
            get
            {
                DateTime dtHappy = DateTime.MinValue;
                try
                {
                    dtHappy = DateTime.Parse(HttpContext.Current.Request.Headers["dateOfBirth"]);
                }
                finally
                {                    
                    
                }

                return dtHappy;
            }
            set {}
        }
        
        public ShibbolethPrincipal()
            : base(new GenericIdentity(GetUserIdentityFromHeaders()), GetRolesFromHeader())
        {
        }

        public static string GetUserIdentityFromHeaders()
        {            
            //return HttpContext.Current.Request.Headers["eppn"];            
            return HttpContext.Current.Request.Headers["principalName"];                        
        }

        public static string[] GetRolesFromHeader()
        {
            string[] roles = null;
            //string rolesheader = HttpContext.Current.Request.Headers["affiliation"];
            string rolesheader = HttpContext.Current.Request.Headers["eduzgEntitlement"];
            if (rolesheader != null)
            {
                roles = rolesheader.Split(';');
            }
            return roles; 
        }
    }
}

文件:ShibbolethController.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace Shibboleth
{
    public class ShibbolethController : Controller
    {
        protected new ShibbolethPrincipal User
        {
            get
            {
                return (base.User as ShibbolethPrincipal) ?? null; //CustomPrincipal.GetUnauthorizedPrincipal();
            }
        }
    }
}

文件:Global.asax

void Application_PostAuthenticateRequest(object sender, EventArgs e)
        {
            var ctx = HttpContext.Current;

            var principal = new ShibbolethPrincipal();
            HttpContext.Current.User = principal;            
        }

使用示例:

 namespace itservices.Controllers
    {
        [Authorize] //examples : [Authorize(Roles="Administrators")], [Authorize(Users="Alice,Bob")]
        public class PasswordMailController : ShibbolethController
        {

    if(User.IsInRole("staff"))
    {

最佳答案

您需要在 Global.asax.cs 中创建一个具有以下签名的方法

protected void Application_PostAuthenticateRequest()
{
    //Your code here.
}

这将在几乎所有其他事情完成之前自动调用(如果此方法存在，MVC 将调用它，您不必在任何地方“打开它”)，这是您需要设置 Principal 的地方。例如，假设您有一个名为 RolesHeader 的 header ，其中包含以逗号分隔的角色值，还有另一个名为 UserId 的 header ，其中包含(duh)用户 ID。

如果没有任何错误处理，您的代码可能类似于:

protected void Application_PostAuthenticateRequest()
{
    var rolesheader = Context.Request.Headers["RolesHeader"];
    var userId = Context.Request.Headers["UserId"];
    var roles = rolesheader.Split(',');
    var principal = new GenericPrincipal(new GenericIdentity(userId), roles);
    Context.User = principal;
}

[Authorize] 属性使用的是 Principal/Identity，因此在请求生命周期开始时将其设置在这里意味着 [Authorize] 属性将正常工作.

其余部分是可选的，但我推荐它:

我喜欢创建自己的自定义类来实现 IPrincipal 和 IIdentity，而不是使用 GenericPrincipal 和 GenericIdentity，因此我可以在其中填充更多用户信息。然后，我的自定义 Principal 和 Identity 对象将具有更丰富的信息，例如分支机构编号或电子邮件地址或其他任何内容。

然后，我创建了一个名为 BaseController 的 Controller ，它具有以下内容

protected new CustomPrincipal User
{
    get
    {
        return (base.User as CustomPrincipal) ?? CustomPrincipal.GetUnauthorizedPrincipal();
    }
}

这使我能够访问我所有丰富的自定义委托(delegate)人数据，而不仅仅是 IPrincipal 中定义的数据。然后，我所有的真实 Controller 都继承自 BaseController，而不是直接继承自 Controller。

显然，当使用像这样的自定义 Principal 时，在 Application_PostAuthenticateRequest() 方法中，您需要将 Context.User 设置为您的 CustomPrincipal 而不是 GenericPrincipal .

关于c# - 使用 Shibboleth 的 asp.net MVC 身份验证，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/28718012/

24

4

0

文章推荐： c++ - 设计一个结合了同步和异步操作的 C++ API

文章推荐： c# - 异步发布到 Azure 队列

文章推荐： C++ 完美转发只复制类型到 make_tuple

文章推荐： c# - 避免特定方法的 CamelCasePropertyNamesContractResolver

sql - 每年重置自动增量(身份)
我正在使用SQL Server 2008 R2，并且想创建一个触发器。对于每个添加（仅添加），将像这样更新一列： ABC-CurrentYear-AutoIncrementCode 例子： ABC-
nosql - 是否可以在表现出最终一致性的数据存储中管理用户/身份？
是否可以在显示最终一致性的数据存储中创建/存储用户帐户？似乎不可能在没有一堆架构复杂性的情况下管理帐户创建，以避免可能发生具有相同 UID(例如电子邮件地址)的两个帐户的情况？最终一致性存储的用户
c# - 身份 - 自定义用户验证器
您好，我有一个带有 Identity 的 .NetCore MVC APP并使用 this指导我能够创建自定义用户验证器。 public class UserDomainValidator : IU
nhibernate - HiLo vs 身份？
这与以下问题相同:HiLo or identity? 我们以本站的数据库为例。假设该站点具有以下表格: 帖子。投票。注释。使用它的最佳策略是什么: 身份 - 这是更常见的。或者 HiLo -
postgresql - Blazor + 身份 : why there is an error?
我想将 Blazor Server 与 ASP.NET Identity 一起使用。但我需要使用 PostgreSQL 作为用户/角色存储，因为它在 AWS 中。它不使用 EF，这是我需要的。我创
c# - Microsoft 身份 - 撤销授权
我正在开发一个 .NET 应用程序，它可以使用 Graph API 代表用户发送电子邮件。提示用户对应用程序进行授权；然后使用获取的访问 token 来调用 Graph API。刷新 token 用
登录请求中未设置 ASP.NET 身份
我使用 ASP.NET 身份和 ClaimsIdentity 来验证我的用户。当用户通过身份验证时，属性 User.Identity 包含一个 ClaimsIdentity 实例。但是，在登录请求期
ssh - 更改给定主机的 ssh 身份
所以我在两台机器上都安装了 CYGWIN。如果我这样做，它会起作用: ssh -i desktop_rsa root@remoteserver 这需要我输入密码 ssh root@remoteser
macos - 如何在终端中请求新的 TOR 身份
我尝试在 mac osx 上的终端中通过 telnet 连接到 TOR 并请求新身份，但它不起作用，我总是收到此错误消息: Trying 127.0.0.1... telnet: connect to
c# - Microsoft 身份 - 撤销授权
我正在开发一个 .NET 应用程序，它可以使用 Graph API 代表用户发送电子邮件。提示用户对应用程序进行授权；然后使用获取的访问 token 来调用 Graph API。刷新 token 用
security - 如何保护 webhook 身份
我正在开发一项服务，客户可以在其中注册他们的 webhook URL，我将发送有关已注册 URL 的更新。为了安全起见，我想让客户端(接收方)识别是我(服务器)向他们发送请求。 Facebook和 G
haskell - 测试 IORef 身份？
在 Haskell 中，有没有办法测试两个 IORef 是否相同？我正在寻找这样的东西: IORef a -> IORef a -> IO Bool 例如，如果您想可视化由 IORef 组成的图形，这
.net - 基于权限的授权.net 身份
我是 .NET、MVC 和身份框架的新手。我注意到身份框架允许通过注释保护单个 Controller 操作。 [Authorize] public ActionResult Edit(int? Id)
oracle - 如何在Oracle中重置“身份”列
我有一列具有身份的列，其计数为19546542，我想在删除所有数据后将其重置。我需要类似ms sql中的'dbcc checkident'这样的内容，但在Oracle中最佳答案在Oracle 12
javax 身份 validator 引用相同的电子邮件地址
这是我用来创建 session 以发送电子邮件的代码: props.put("mail.smtp.auth", "true"); props.put("mail.smtp.starttls.enabl
c# - mvc5 身份 AllowAnonymous
我想了解 [AllowAnonymous] 标签的工作原理。我有以下方法 [HttpGet] public ActionResult Add() { return View(); } 当我没
PayPal 身份 token 未显示在沙盒上
在使用沙盒测试环境时，PayPal 身份 token 对某些人显示而不对其他人显示的原因是否有任何原因。我在英国使用 API，终生无法生成或找到 token 。我已经遵循协议(protocol)并
mysql - SQL 身份 phpMyAdmin
我对非常简单的事情有一些疑问:IDENTITY。我尝试在 phpMyAdmin 中创建表: CREATE TABLE IF NOT EXISTS typEventu ( typEventu
algorithm - 渐进式索引成语中的 APL 身份
习语 #1 和 #5 是 FinnAPL Idiom Library两者具有相同的名称:“Progressive index of (without replacement)”: ((⍴X)⍴⍋⍋X⍳
windows - 如何更改我的 TFS 身份？
当我第一次在 TFS 中设置时，我的公司拼错了我的用户名。此后他们将其更改为正确的拼写，但该更改显然未反射(reflect)在 TFS 中。当我尝试 checkin 更改时，出现此错误: 有没有一种方

首页

博学

6Ren·AI

商城

c# - 使用 Shibboleth 的 asp.net MVC 身份验证

更新

根据@Pharylon的回答实现