Vorrei implementare maschere con angularjs in attesa di blazor ufficiale. In entrambe i casi immagino che facendo delle call a controllerapi se pongo Authorize scatta in automatico il controllo del cookie rilasciato?

Diciamo di sì. Il cookie viene letto dal middleware di autenticazione che così è in grado di ricreare l'identità dell'utente (User.Identity). Poi, l'attributo Authorize verifica che nell'identità dell'utente ci siano i claim richiesti, tipo il ruolo.

Aggiungerei poi un mio customfilter che verifica altro intercettando l'utente (User.identity) e collegandomi al db per controllare altri dati prima della action

Per esempio?

flaviovb ha scritto:

una volta loggato tramite il post e signinPasswordAsync verificata l'utente è loggato ma io non ho implementato i claims da nessuna parte, in particolare quello dei ruoli.
Domande:
- il claim del ruolo e tutti gli altri tipo l'azienda di appartenenza dove li implemento?
Nella actionFilter vorrei verificare i claim legendo il ruolo e l'azienda dal db, o è cosa inutile perché sono come i payload con jwt, ovvero anche ipoteticamente mi arrivasse il cookie modificato questo sarebbe non valido!
F

tipo
var user = await _userManager.FindByEmailAsync(Input.Email);
await _userManager.AddClaimAsync(user, new Claim("test", "Hello"));
var claimsPrincipal = await _signInManager.CreateUserPrincipalAsync(user);
await _signInManager.RefreshSignInAsync(user);
return LocalRedirect(returnUrl);

IUserClaimsPrincipalFactory<TUser>...fatto.
Detto questo, ho modificato la tabella Role inserendo la colonna CampanyId, ovvero quando creo un nuovo ruolo prevedo di legarlo ad una azienda. Il sistema di autenticazione lo ho estratto e messo su una dll che verrà utilizzata da piu progetti aspnetcore (siti aziendali dei clienti). La logica di autenticazione e autorizzazione è la stessa ma circa il ruolo, la lista è associata alla azienda cui fa parte l'utente.
La maschera di associazione ruoli/utenza prevederà di filtrare la lista dei ruolo in base alla azienda in cui è censito l'utente. Questa attività la fa o amministratore domini (noi) o l'admin dell'azienda. In questo ultimo caso la lista dei ruoli verrà filtrata per CompanyId.
Questo perché il comportamento del ruolo varia in base all'azienda, l'admin della company1 lavora per la company1, l'admin della company2 di seguito ecc...
A questo punto dovrebbe bastera Authorize(Roles="...") su controller e/o action (sia mvc, sia api - angualrjs/blazor). Ogni sito utilizzando lo stessa logica farà accedere solo gli utenti previsti per quel sito.

Il sistema di verifica in fase di login deve oltre la password verificare che l'utente abbia accesso al dominio. Una tabella prevede associazione utente/dominio.
In fase di login (post) prima di signin PasswordSignInAsync chiamo un metodo in UserStore.CheckDomain(user.name, "dominio che sto navigando) e verifico se l'utente ha accesso restituendo un errore in caso, altrimenti PasswordSignInAsync.
Voorei mettere CheckDomain in UserManager, come posso implementare UserManager aggiungendo un custom method?
O piu semplicemente in UserStore che ho implementato in FindByNameAsync cambio la query e aggiungo elenco dei dominio (proprietà di User) a cui ha accesso utente. Quindi verifico che quello a cui si sta loggando c'è.

Ho una domanda circa il cookie di autenticazione ed i claims. Se un utente passa da un ruolo ad un altro durante la navigazione, durante la login sono Admin, nel frattempo mi cambiano il ruolo. Come verifico il fatto che il claim role passato e risolto durante la richiesta non sia piu valido? Lo verifico tutte le volte collegandomi al database e creando un customauthorize? A quel punto forzerei il signout peraltro
F.

---

Modificato da flaviovb il 02 agosto 2019 08:06 -

---

Modificato da flaviovb il 02 agosto 2019 08:09 -

E se usassi IClaimsTransformation che scatta dopo l'autenticazione avvenuta?
F.