1、前言

  但凡业务系统,授权是绕不开的一环。见过太多只在前端做菜单及按钮显隐控制,但后端裸奔的,觉着前端看不到,系统就安全,掩耳盗铃也好,自欺欺人也罢,这里不做评论。在.NET CORE中,也见过不少用操作过滤器来实现业务用例权限控制的,至少算是对后端做了权限控制。

  但我们知道,操作过滤器,已经算是过滤器管道中最靠后的,基本上紧挨着我们控制器方法执行那里了,本身,操作过滤器也不是做权限控制的地方,虽然本身它能达到权限控制效果。为什么这么说,试想下,在过滤器管道之前,还有中间件处理管道,即便是过滤器管道执行环节,操作过滤器也是最靠后的,它往前还有授权过滤器,资源过滤器等,假如我在资源过滤器中缓存了请求结果,那权限控制基本上就废了。

  说这么多,只想表达一点,合适的地方,合适的东西,干合适的事儿。在.NET CORE中,官方推荐用策略去实现授权。策略授权,是在授权中间件环节执行,当然能解决上述执行流程先后顺序的问题。但如果要直接应用于我们业务系统中的权限控制,恐怕远远不够,因为你不可能为每个api用例创建一个角色或策略,更主要的,权限控制还要动态授予或回收的,不做扩展直接照搬,你是很难搞的。接下来,我们就来看看,如何基于core的授权机制,去实现我们传统的用户,角色,权限,及权限的动态授予与回收控制。

2、实现

  我们先看看,菜单表概览:

  查询中IsMenu代表是侧边栏菜单还是功能按钮,这里我把按钮级别的给筛选出来了,每个按钮菜单都代表一个业务用例,也对应我们一个控制器方法。 Code是唯一的,待会儿权限控制标识,会采用这个字段。当然你用主键ID也可以,但比较难记。实际运维中,会把这些菜单按照业务分配给指定角色,再把指定角色分配给系统用户。

  接下来,定义一个Requirement,以权限码作为主校验对象:

public class PermissionRequirement : IAuthorizationRequirement

    {

        public PermissionRequirement(params string[] codes)

        {

            this.Codes = codes;

        }

        public string[] Codes { get; private set; }

    }

  有Requirement,自然有RequirementHandler:

 public class PermissionHandler : AuthorizationHandler<PermissionRequirement>

     {

         private readonly IMenuService _menuService;

         public PermissionHandler(IMenuService menuService)

         {

             _menuService = menuService;

         }

         protected override async Task HandleRequirementAsync(

             AuthorizationHandlerContext context,

             PermissionRequirement requirement)

         {

             var roles = context.User.Claims.FirstOrDefault(x => x.Type == ClaimTypes.Role).Value;

             if (!string.IsNullOrWhiteSpace(roles))

             {

                 var roleIds = roles.Split(',', StringSplitOptions.RemoveEmptyEntries)

                     .Select(x => long.Parse(x));

                 if (roleIds.Contains())

                 {

                     context.Succeed(requirement);

                     return;

                 }

                 var menus = await _menuService.GetMenusByRoleIds(roleIds.ToArray());

                 if (menus.Any())

                 {

                     var codes = menus.Select(x => x.Code.ToUpper());

                     if (requirement.Codes.Any(x => codes.Contains(x.ToUpper())))

                     {

                         context.Succeed(requirement);

                     }

                 }

             }

         }

     }

  逻辑比较常规,根据当前用户角色,获取其所有菜单权限,然后与Requirement中声明要求的菜单权限做对比,如果含有,则放行。到这儿,大家应该都能看懂,典型的.NET CORE权限控制组件。

  接下来,定义一个授权过滤器特性:

 public class PermissionFilter : Attribute, IAsyncAuthorizationFilter

     {

         private readonly IAuthorizationService _authorizationService;

         private readonly PermissionRequirement _requirement;

         public PermissionFilter(IAuthorizationService authorizationService, PermissionRequirement requirement)

         {

             _authorizationService = authorizationService;

             _requirement = requirement;

         }

         public async Task OnAuthorizationAsync(AuthorizationFilterContext context)

         {

             var result = await _authorizationService.AuthorizeAsync(context.HttpContext.User, null, _requirement);

             if (!result.Succeeded)

             {

                 context.Result = new JsonResult("您没有此操作权限")

                 {

                     StatusCode = (int)HttpStatusCode.Forbidden

                 };

             }

         }

     }

  从这儿开始,我估计有人就要看不懂了,下边解释下。首先,PermissionFilter是个授权过滤器,它实现了IAsyncAuthorizationFilter,所以会作为过滤器管道第一道去执行。构造函数中有2个参数,IAuthorizationService直接注入,PermissionRequirement则通过特性标记外部设置。在OnAuthorizationAsync重写方法中,调用IAuthorizationService.AuthorizeAsync方法去做具体授权校验工作,经此桥接,授权流程就转到我们最开始定义的PermissionHandler去了。本身core源码中,IAuthorizationService是在授权中间件中使用到的,这里我借用了。注意,一旦过滤器注入了服务,那此过滤器便不再能够直接以打标记的形式贴在控制器或方法上了,那种形式必须所有参数都直接指定。core中给出的方案,是TypeFilter,涉及到服务注入的时候。

  那接下来,就是另一个重要对象了:

/// <summary>

    /// 权限特性

    /// </summary>

    public class PermissionAttribute : TypeFilterAttribute

    {

        public PermissionAttribute(params string[] codes)

            : base(typeof(PermissionFilter))

        {

            Arguments = new[] { new PermissionRequirement(codes) };

        }

    }

  至此,各组件定义完毕,那我们使用就类似下边这样:

3、效果演示

  guokun用户角色:

网站管理员角色对应权限:

  可以看到,是没有勾选删除部门的,那我们用这个账户来删除下部门:

  状态码403,并提示无权操作,删除动作已经被拦截了。那我们把删除权限赋予网站管理员:

  接下来再来删除:

  可以看到,已经删除部门成功。

3、总结

  以上便是本项目权限控制的实现。认证&授权这块儿,如果要做好,还是得把core的整套机制弄清楚,最好能把源码过一遍,不然根本搞不清楚需要怎么扩展,每个扩展点在什么时机触发及生效。

Core + Vue 后台管理基础框架3——后端授权的更多相关文章

  1. Core + Vue 后台管理基础框架4——前端授权

    1.前言 上篇,我们讲了后端的授权.与后端不同,前端主要是通过功能入口如菜单.按钮的显隐来控制授权的.具体来讲,就是根据指定用户的制定权限来加载对应侧边栏菜单和页面内的功能按钮.我们一个个来讲. 2. ...

  2. Core + Vue 后台管理基础框架0——开篇

    1.背景 最近,打算新开个项目,鉴于团队技术栈,选型.net core + vue,前后端分离.本打算捡现成的轮子的,github上大致逛了逛,总发现这样那样的不太适合心中那些“完美实践”,例如:Ab ...

  3. Core + Vue 后台管理基础框架2——认证

    1.前言 这块儿当时在IdentityServer4和JWT之间犹豫了一下,后来考虑到现状,出于3个原因,暂时放弃了IdentityServer4选择了JWT: (1)目前这个前端框架更适配JWT: ...

  4. Core + Vue 后台管理基础框架1——运行系统

    1.down源码 git clone https://github.com/KINGGUOKUN/SystemManagement.git,项目目录如下: 2.还原数据库 找到项目根目录下System ...

  5. Core + Vue 后台管理基础框架8——Swagger文档

    1.前言 作为前后端分离的项目,或者说但凡涉及到对外服务的后端,一个自描述,跟代码实时同步的文档是极其重要的.说到这儿,想起了几年前在XX速运,每天写完代码,还要给APP团队更新文档的惨痛经历.给人家 ...

  6. Core + Vue 后台管理基础框架9——统一日志

    1.背景 前阵子有园友留言,提到日志相关的东西,同时,最近圈子里也有提到日志这个东西.一个充分.集中的统一日志平台还是很有必要的,否则系统出问题了只能靠猜或者干瞪眼.何谓充分,日志记录满足最低要求.出 ...

  7. Core + Vue 后台管理基础框架7——APM

    1.前言 APM,又称应用性能统计,主要用来跟踪请求调用链,每个环节调用耗时,为我们诊断系统性能.定位系统问题提供了极大便利.本系统采用的是Elastic Stack体系中的APM,主要是之前部门搞P ...

  8. hsweb 企业后台管理基础框架

    hsweb 详细介绍 业务功能 现在: 权限管理: 权限资源-角色-用户. 配置管理: kv结构,自定义配置.可通过此功能配置数据字典. 脚本管理: 动态脚本,支持javascript,groovy, ...

  9. 基于bootstrap的漂亮网站后台管理界面框架汇总

    基于bootstrap的漂亮网站后台管理界面框架汇总 10个最新的 Bootstrap 3 管理模板 这里分享的 10 个模板是从最新的 Bootstrap 3 管理模板集合中挑选出来的,可以帮助你用 ...

随机推荐

  1. SecureCRT8.1安装破解

    博主本人平和谦逊,热爱学习,读者阅读过程中发现错误的地方,请帮忙指出,感激不尽 一.安装破解 [基本信息] SecureCRT v8.x 注册机,TEAM Z.W.T 出品,MD5 = 44114b9 ...

  2. 使用框架结构之frameset

    首先,我希望在你的目录下,有4个网页,各自显示不同的内容. 如图所示: 1.html显示"火影忍者" 2.html显示"英雄联盟" 3.html显示" ...

  3. 深入JVM内核--JVM简介

    JVM概念 jvm是指通过软件模拟的具有完整硬件系统功能的.运行在一个完全隔离环境中的完成计算机系统. 目前主要有vmMare.visual Box和JVM三款虚拟机. JVM使用软件模拟java字节 ...

  4. [LC] 56. Merge Intervals

    Given a collection of intervals, merge all overlapping intervals. Example 1: Input: [[1,3],[2,6],[8, ...

  5. [LC] 235. Lowest Common Ancestor of a Binary Search Tree

    Given a binary search tree (BST), find the lowest common ancestor (LCA) of two given nodes in the BS ...

  6. 吴裕雄--天生自然python学习笔记:Python3 网络编程

    Python 提供了两个级别访问的网络服务.: 低级别的网络服务支持基本的 Socket,它提供了标准的 BSD Sockets API,可以访问底层操作系统Socket接口的全部方法. 高级别的网络 ...

  7. 吴裕雄--天生自然python学习笔记:Python3 命名空间和作用域

    命名空间(Namespace)是从名称到对象的映射,大部分的命名空间都是通过 Python 字典来实现的. 命名空间提供了在项目中避免名字冲突的一种方法.各个命名空间是独立的,没有任何关系的,所以一个 ...

  8. Selenium2自动化——初体验

    一.Windows下的环境搭建 1.安装Python 访问Python官网:https://www.python.org/ 2.安装setuptools与pip setuptools是Python e ...

  9. Html的label和span的区别

    从最终效果来看,label与span标签显示方式及作用都一样的但由于label中有for属性的存在,也有着决定性的不同 for属性将label和表单进行配对 label标签通常是写在表单(form)内 ...

  10. ckeditor 捕获键代码

    <!--<script type="text/javascript"> var ctrlKey = false; var shiftKey = false; if ...