原文:ASP.Net Core下Authorization的几种方式 - 简书

ASP.Net Core下Authorization的几种方式

Authorization其目标就是验证Http请求能否通过验证。ASP.Net Core提供了很多种Authorization方式,详细可以参考 微软官方文档。在这里只详细介绍三种方式:

  • Policy
  • Middleware
  • Custom Attribute

1. Policy : 策略授权

先定义一个IAuthorizationRequirement类来定义策略的要求,以下例子支持传递一个age参数。

    public class AdultPolicyRequirement : IAuthorizationRequirement

    {

        public int Age { get; }

        public AdultPolicyRequirement(int age)

        {

            //年龄限制

            this.Age = age;

        }

    }

然后定义策略要求的Handler,当提供的Controller被请求时先根据请求的Http报文来决定是否可以通过验证。

    public class AdultAuthorizationHandler : AuthorizationHandler

    {

        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, AdultPolicyRequirement requirement)

        {

            //获取当前http请求的context对象

            var mvcContext = context.Resource as AuthorizationFilterContext;

            //以下代码都不是必须的,只是展示一些使用方法,你可以选择使用

            ......

            //

            var age = mvcContext.HttpContext.Request.Query.FirstOrDefault(u => u.Key == "age");

            if (age.Value.Count <= 0|| Convert.ToInt16(age.Value[0]) < requirement.Age)

            {

                context.Fail();

            }

            else

            {

                //通过验证,这句代码必须要有

                context.Succeed(requirement);

            }

            return Task.CompletedTask;

        }

    }

还需要在启动时,在services里注册定义的策略和对应的Handler

    //添加二种认证策略,一种以12岁为界限,一种是18岁

    services.AddAuthorization(options =>

    {

        options.AddPolicy("Adult1", policy =>

            policy.Requirements.Add(new AdultPolicyRequirement(12)));

        options.AddPolicy("Adult2", policy =>

            policy.Requirements.Add(new AdultPolicyRequirement(18)));

    });

    //添加策略验证handler

    services.AddSingleton();

最后在相应的Controller前加上Authroize特性 [Authorize("Adult1")]。总体上Policy这种方式比较简单,但是也有不灵活的地方,不同的策略要求都需要提前在services里注册。完整的例子可以参考 PolicySample

2. Middleware: 中间件方式

这种方式并不是专门用于授权,它的用途更广更灵活,它用于在所有Http Request和Response前授权检查、数据处理、错误跳转、日志处理等。详细说明可以参考 官方Middleware说明

 
image

这个图是基本的结构和运行图,我们可以创建多个中间组件,组成一个管道,在Http的Request发出和Response创建之前对HttpContext.Request和HttpContext.Response进行处理。看以下例子,定义了2个中间组件类:

    public class AuthorizeMiddleware

    {

        private readonly RequestDelegate next;

        public AuthorizeMiddleware(RequestDelegate next)

        {

            this.next = next;

        }

        public async Task Invoke(HttpContext context /* other scoped dependencies */)

        {

            //以下代码都不是必须的,只是展示一些使用方法,你可以选择使用

            ...

            //这个例子只是修改一下response的header

            context.Response.OnStarting(state => {

                var httpContext = (HttpContext)state;

                httpContext.Response.Headers.Add("test2", "testvalue2");

                return Task.FromResult(0);

            }, context);

            //处理结束转其它中间组件去处理

            await next(context);

        }

    }


    public class OtherMiddleware

    {

        private readonly RequestDelegate next;

        public OtherMiddleware(RequestDelegate next)

        {

            this.next = next;

        }

        public async Task Invoke(HttpContext context )

        {

            //这个例子只是修改一下response的header

            context.Response.OnStarting(state => {

                var httpContext = (HttpContext)state;

                httpContext.Response.Headers.Add("test1", "testvalue1" );

                return Task.FromResult(0);

            }, context);

            await next(context);

        }

    }

这里定义的类不需要实现接口或集成系统的类。只需要给app增加middleware代理类的定义。注意在HttpResponse发出之后就不要再调用next.invoke()。以下三句代码的执行顺序不能弄错。

      app.UseMiddleware(typeof(AuthorizeMiddleware));

      app.UseMiddleware(typeof(OtherMiddleware));

      app.UseMvc();

执行web请求后执行的顺序是:

  • 执行AuthorizeMiddleware的invoke方法
  • 执行OtherMiddleware的invoke方法
  • 执行ValueController的Get方法
  • 执行OtherMiddleware的修改header方法
  • 执行AuthorizeMiddleware的修改header方法
  • 发出Http Response

大家可以自己执行一下代码来理解。代码参考 Github地址

3. Custom Attribute:自定义特性

这里其实是第一种Policy策略和自定义特性的结合,从而实现在Controller的具体方法位置自定义不同参数的Policy策略。

首先需要定义这个Attribute和策略要求类

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true)]

    public class PermissionCheckAttribute : AuthorizeAttribute

    {

        public string Id { get; set; }

        public int Operation { get; set; }

        public PermissionCheckAttribute() : base("PermissionCheck")

        {

        }

    }

    public class PermissionCheckPolicyRequirement : IAuthorizationRequirement

    {

        //Add any custom requirement properties if you have them

        public PermissionCheckPolicyRequirement()

        {

        }

    }

再定义策略和Attribute对应的Handler处理类

    public class PermissionCheckPolicyHandler : AttributeAuthorizationHandler<PermissionCheckPolicyRequirement, PermissionCheckAttribute>

    {

        protected override Task HandleRequirementAsync(AuthorizationHandlerContext authoriazationContext,

            PermissionCheckPolicyRequirement requirement, IEnumerable<PermissionCheckAttribute> attributes)

        {

            var context = authoriazationContext.Resource as AuthorizationFilterContext;

            foreach (var permissionAttribute in attributes)

            {

                this.checkPermission(context, permissionAttribute.Id, permissionAttribute.Operation);

            }

            authoriazationContext.Succeed(requirement);

            return Task.FromResult<object>(null);

        }

        private void checkPermission(AuthorizationFilterContext context, string _Id, int _Operation)

        {

            if (_Operation > 0)

            {

                if (_Id != "user1")

                {

                    throw new Exception("不具备操作权限");

                }

            }

            else

            {

                //dosomething

            }

            return;

        }

    }

同样还需要在service里添加策略和策略处理类,这里不贴代码了。最后在Controller里使用带参数的Attribute,类似如下:

        [HttpGet]

        [PermissionCheck (Id ="user1", Operation=2)]

        public IEnumerable Get()

        {

            return new string[] { "value1", "value2" };

        }

        // GET api/values/5

        [HttpGet("{id}")]

        [PermissionCheck(Id = "user2", Operation = 4)]

        public string Get(int id)

        {

            return "value";

        }

完整的代码参考Github地址

作者:voxer
链接:https://www.jianshu.com/p/0ed4d820809c
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

ASP.Net Core下Authorization的几种方式 - 简书的更多相关文章

  1. Asp.Net Core下的两种路由配置方式

    与Asp.Net Mvc创建区域的时候会自动为你创建区域路由方式不同的是,Asp.Net Core下需要自己手动做一些配置,但更灵活了. 我们先创建一个区域,如下图 然后我们启动访问/Manage/H ...

  2. 项目开发中的一些注意事项以及技巧总结 基于Repository模式设计项目架构—你可以参考的项目架构设计 Asp.Net Core中使用RSA加密 EF Core中的多对多映射如何实现? asp.net core下的如何给网站做安全设置 获取服务端https证书 Js异常捕获

    项目开发中的一些注意事项以及技巧总结   1.jquery采用ajax向后端请求时,MVC框架并不能返回View的数据,也就是一般我们使用View().PartialView()等,只能返回json以 ...

  3. Asp.net core下利用EF core实现从数据实现多租户(3): 按Schema分离 附加:EF Migration 操作

    前言 前段时间写了EF core实现多租户的文章,实现了根据数据库,数据表进行多租户数据隔离. 今天开始写按照Schema分离的文章. 其实还有一种,是通过在数据表内添加一个字段做多租户的,但是这种模 ...

  4. ASP.NET CORE下运行CMD命令

    ASP.NET CORE下运行CMD命令,用以前的ASP.NET 的命令System.Diagnostics.Process.Start("notepad");这样是可以运行出记事 ...

  5. Asp.net core下利用EF core实现从数据实现多租户(1)

    前言 随着互联网的的高速发展,大多数的公司由于一开始使用的传统的硬件/软件架构,导致在业务不断发展的同时,系统也逐渐地逼近传统结构的极限. 于是,系统也急需进行结构上的升级换代. 在服务端,系统的I/ ...

  6. ASP.NET Core下FreeSql的仓储事务

    ASP.NET Core下FreeSql的仓储事务 第一步:配置 Startup.cs 注入 引入包 dotnet add package FreeSql dotnet add package Fre ...

  7. ASP.NET 页面之间传值的几种方式

    开篇概述 对于任何一个初学者来说,页面之间传值可谓是必经之路,却又是他们的难点.其实,对大部分高手来说,未必不是难点. 回想2016年面试的将近300人中,有实习生,有应届毕业生,有1-3年经验的,有 ...

  8. 【ASP.NET MVC系列】浅谈ASP.NET 页面之间传值的几种方式

    ASP.NET MVC系列文章 [01]浅谈Google Chrome浏览器(理论篇) [02]浅谈Google Chrome浏览器(操作篇)(上) [03]浅谈Google Chrome浏览器(操作 ...

  9. ASP.NET页面间传值的几种方式

    ASP.NET页面间传值的几种方式 1.使用QueryString 使用QuerySting在页面间传递值已经是一种很老的机制了,这种方法的主要优点是实现起来非常简单,然而它的缺点是传递的值是会显示在 ...

随机推荐

  1. Redis内存满了的几种解决方法(内存淘汰策略与Redis集群)

    1,增加内存: 2,使用内存淘汰策略. 3,Redis集群. 重点介绍下23: 第2点: 我们知道,redis设置配置文件的maxmemory参数,可以控制其最大可用内存大小(字节). 那么当所需内存 ...

  2. Button.OnClientClick

    Button.OnClientClick Gets or sets the client-side script that executes when a Button control's Click ...

  3. Eureka 2.0 闭源--选择Consul???[转]

    原文链接: https://www.cnblogs.com/williamjie/p/9369800.html 在上个月我们知道 Eureka 2.0 闭源了,但其实对国内的用户影响甚小,一方面国内大 ...

  4. debian系统安装vsftpd服务端和ftp客户端

    一.服务器安装和配置 1.安装vsftpd.(此处切换到su权限下了.其它用户请使用sudo权限,没有sudo权限的看前面的教程进行安装) apt-get install vsftpd 2.配置vsf ...

  5. oracle增、删、改、查

    参照文档 https://blog.csdn.net/yes_is_ok/article/details/79271965 https://blog.csdn.net/cl723401/article ...

  6. Document、HTMLDocument关系的探究

    首先贴上代码: console.log(Object.getPrototypeOf(document)); console.log(Object.getPrototypeOf(Object.getPr ...

  7. 掌握Pod-Pod调度策略

    一 Pod生命周期管理 1.1 Pod生命周期 Pod在整个生命周期过程中被系统定义了如下各种状态. 状态值 描述 Pending API Server已经创建该Pod,且Pod内还有一个或多个容器的 ...

  8. linux(centos7)下SVN服务器搭建

    https://www.cnblogs.com/fuyuanming/p/6123395.html linux(centos)下SVN服务器如何搭建?说到SVN服务器,想必大家都知道,可以是在LINU ...

  9. 2019年icpc区域赛银川站总结

    目录 一.前言 二.10月19日热身赛 三.10月20日正式赛 四.结果 一.前言 比赛前我们队有ccpc厦门和icpc银川的名额,然而这两个地区的时间正好撞了,考虑到银川更容易拿奖,加上我们ACM协 ...

  10. np的concatenate和pandas的groupby

    1. concatenate concatenate函数可以实现对两个张量进行拼接,这个张量可以实一维向量,二维矩阵等等 1. 首先定义四个列表,然后用concatenate把他们拼接起来,这里我设a ...