1、前言

  但凡业务系统,授权是绕不开的一环。见过太多只在前端做菜单及按钮显隐控制,但后端裸奔的,觉着前端看不到,系统就安全,掩耳盗铃也好,自欺欺人也罢,这里不做评论。在.NET CORE中,也见过不少用操作过滤器来实现业务用例权限控制的,至少算是对后端做了权限控制。

  但我们知道,操作过滤器,已经算是过滤器管道中最靠后的,基本上紧挨着我们控制器方法执行那里了,本身,操作过滤器也不是做权限控制的地方,虽然本身它能达到权限控制效果。为什么这么说,试想下,在过滤器管道之前,还有中间件处理管道,即便是过滤器管道执行环节,操作过滤器也是最靠后的,它往前还有授权过滤器,资源过滤器等,假如我在资源过滤器中缓存了请求结果,那权限控制基本上就废了。

  说这么多,只想表达一点,合适的地方,合适的东西,干合适的事儿。在.NET CORE中,官方推荐用策略去实现授权。策略授权,是在授权中间件环节执行,当然能解决上述执行流程先后顺序的问题。但如果要直接应用于我们业务系统中的权限控制,恐怕远远不够,因为你不可能为每个api用例创建一个角色或策略,更主要的,权限控制还要动态授予或回收的,不做扩展直接照搬,你是很难搞的。接下来,我们就来看看,如何基于core的授权机制,去实现我们传统的用户,角色,权限,及权限的动态授予与回收控制。

2、实现

  我们先看看,菜单表概览:

  查询中IsMenu代表是侧边栏菜单还是功能按钮,这里我把按钮级别的给筛选出来了,每个按钮菜单都代表一个业务用例,也对应我们一个控制器方法。 Code是唯一的,待会儿权限控制标识,会采用这个字段。当然你用主键ID也可以,但比较难记。实际运维中,会把这些菜单按照业务分配给指定角色,再把指定角色分配给系统用户。

  接下来,定义一个Requirement,以权限码作为主校验对象:

public class PermissionRequirement : IAuthorizationRequirement

    {

        public PermissionRequirement(params string[] codes)

        {

            this.Codes = codes;

        }

        public string[] Codes { get; private set; }

    }

  有Requirement,自然有RequirementHandler:

 public class PermissionHandler : AuthorizationHandler<PermissionRequirement>

     {

         private readonly IMenuService _menuService;

         public PermissionHandler(IMenuService menuService)

         {

             _menuService = menuService;

         }

         protected override async Task HandleRequirementAsync(

             AuthorizationHandlerContext context,

             PermissionRequirement requirement)

         {

             var roles = context.User.Claims.FirstOrDefault(x => x.Type == ClaimTypes.Role).Value;

             if (!string.IsNullOrWhiteSpace(roles))

             {

                 var roleIds = roles.Split(',', StringSplitOptions.RemoveEmptyEntries)

                     .Select(x => long.Parse(x));

                 if (roleIds.Contains())

                 {

                     context.Succeed(requirement);

                     return;

                 }

                 var menus = await _menuService.GetMenusByRoleIds(roleIds.ToArray());

                 if (menus.Any())

                 {

                     var codes = menus.Select(x => x.Code.ToUpper());

                     if (requirement.Codes.Any(x => codes.Contains(x.ToUpper())))

                     {

                         context.Succeed(requirement);

                     }

                 }

             }

         }

     }

  逻辑比较常规,根据当前用户角色,获取其所有菜单权限,然后与Requirement中声明要求的菜单权限做对比,如果含有,则放行。到这儿,大家应该都能看懂,典型的.NET CORE权限控制组件。

  接下来,定义一个授权过滤器特性:

 public class PermissionFilter : Attribute, IAsyncAuthorizationFilter

     {

         private readonly IAuthorizationService _authorizationService;

         private readonly PermissionRequirement _requirement;

         public PermissionFilter(IAuthorizationService authorizationService, PermissionRequirement requirement)

         {

             _authorizationService = authorizationService;

             _requirement = requirement;

         }

         public async Task OnAuthorizationAsync(AuthorizationFilterContext context)

         {

             var result = await _authorizationService.AuthorizeAsync(context.HttpContext.User, null, _requirement);

             if (!result.Succeeded)

             {

                 context.Result = new JsonResult("您没有此操作权限")

                 {

                     StatusCode = (int)HttpStatusCode.Forbidden

                 };

             }

         }

     }

  从这儿开始,我估计有人就要看不懂了,下边解释下。首先,PermissionFilter是个授权过滤器,它实现了IAsyncAuthorizationFilter,所以会作为过滤器管道第一道去执行。构造函数中有2个参数,IAuthorizationService直接注入,PermissionRequirement则通过特性标记外部设置。在OnAuthorizationAsync重写方法中,调用IAuthorizationService.AuthorizeAsync方法去做具体授权校验工作,经此桥接,授权流程就转到我们最开始定义的PermissionHandler去了。本身core源码中,IAuthorizationService是在授权中间件中使用到的,这里我借用了。注意,一旦过滤器注入了服务,那此过滤器便不再能够直接以打标记的形式贴在控制器或方法上了,那种形式必须所有参数都直接指定。core中给出的方案,是TypeFilter,涉及到服务注入的时候。

  那接下来,就是另一个重要对象了:

/// <summary>

    /// 权限特性

    /// </summary>

    public class PermissionAttribute : TypeFilterAttribute

    {

        public PermissionAttribute(params string[] codes)

            : base(typeof(PermissionFilter))

        {

            Arguments = new[] { new PermissionRequirement(codes) };

        }

    }

  至此,各组件定义完毕,那我们使用就类似下边这样:

3、效果演示

  guokun用户角色:

网站管理员角色对应权限:

  可以看到,是没有勾选删除部门的,那我们用这个账户来删除下部门:

  状态码403,并提示无权操作,删除动作已经被拦截了。那我们把删除权限赋予网站管理员:

  接下来再来删除:

  可以看到,已经删除部门成功。

3、总结

  以上便是本项目权限控制的实现。认证&授权这块儿,如果要做好,还是得把core的整套机制弄清楚,最好能把源码过一遍,不然根本搞不清楚需要怎么扩展,每个扩展点在什么时机触发及生效。

Core + Vue 后台管理基础框架3——后端授权的更多相关文章

  1. Core + Vue 后台管理基础框架4——前端授权

    1.前言 上篇,我们讲了后端的授权.与后端不同,前端主要是通过功能入口如菜单.按钮的显隐来控制授权的.具体来讲,就是根据指定用户的制定权限来加载对应侧边栏菜单和页面内的功能按钮.我们一个个来讲. 2. ...

  2. Core + Vue 后台管理基础框架0——开篇

    1.背景 最近,打算新开个项目,鉴于团队技术栈,选型.net core + vue,前后端分离.本打算捡现成的轮子的,github上大致逛了逛,总发现这样那样的不太适合心中那些“完美实践”,例如:Ab ...

  3. Core + Vue 后台管理基础框架2——认证

    1.前言 这块儿当时在IdentityServer4和JWT之间犹豫了一下,后来考虑到现状,出于3个原因,暂时放弃了IdentityServer4选择了JWT: (1)目前这个前端框架更适配JWT: ...

  4. Core + Vue 后台管理基础框架1——运行系统

    1.down源码 git clone https://github.com/KINGGUOKUN/SystemManagement.git,项目目录如下: 2.还原数据库 找到项目根目录下System ...

  5. Core + Vue 后台管理基础框架8——Swagger文档

    1.前言 作为前后端分离的项目,或者说但凡涉及到对外服务的后端,一个自描述,跟代码实时同步的文档是极其重要的.说到这儿,想起了几年前在XX速运,每天写完代码,还要给APP团队更新文档的惨痛经历.给人家 ...

  6. Core + Vue 后台管理基础框架9——统一日志

    1.背景 前阵子有园友留言,提到日志相关的东西,同时,最近圈子里也有提到日志这个东西.一个充分.集中的统一日志平台还是很有必要的,否则系统出问题了只能靠猜或者干瞪眼.何谓充分,日志记录满足最低要求.出 ...

  7. Core + Vue 后台管理基础框架7——APM

    1.前言 APM,又称应用性能统计,主要用来跟踪请求调用链,每个环节调用耗时,为我们诊断系统性能.定位系统问题提供了极大便利.本系统采用的是Elastic Stack体系中的APM,主要是之前部门搞P ...

  8. hsweb 企业后台管理基础框架

    hsweb 详细介绍 业务功能 现在: 权限管理: 权限资源-角色-用户. 配置管理: kv结构,自定义配置.可通过此功能配置数据字典. 脚本管理: 动态脚本,支持javascript,groovy, ...

  9. 基于bootstrap的漂亮网站后台管理界面框架汇总

    基于bootstrap的漂亮网站后台管理界面框架汇总 10个最新的 Bootstrap 3 管理模板 这里分享的 10 个模板是从最新的 Bootstrap 3 管理模板集合中挑选出来的,可以帮助你用 ...

随机推荐

  1. HashMap、Hashtable、ConcurrentHashMap、ConcurrentSkipListMap对比及java并发包(java.util.concurrent)

    一.基础普及 接口(interface) 类(class) 继承类 实现的接口 Array √ Collection √ Set √ Collection List √ Collection Map ...

  2. 对Java8新的日期时间类的学习(二)

    示例11 在Java中如何判断某个日期是在另一个日期的前面还是后面 这也是实际项目中常见的一个任务.你怎么判断某个日期是在另一个日期的前面还是后面,或者正好相等呢?在Java 8中,LocalDate ...

  3. python语法基础-基础-变量和数据类型

    ###############   第一个python程序   ############### print("hello python") # 打印hello python # 分 ...

  4. 前端-css-长期维护

    ###############    CSS简介    ################ # CSS # HTML是骨架 # CSS是样式 # JS是动作 # css和html是分成两个文件编写的,这 ...

  5. springboot学习笔记:10.springboot+atomikos+mysql+mybatis+druid+分布式事务

    前言 上一篇文章我们整合了springboot+druid+mybatis+mysql+多数据源: 本篇文章大家主要跟随你们涛兄在上一届基础上配置一下多数据源情况下的分布式事务: 首先,到底啥是分布式 ...

  6. PHP--foreach的问题

    <?php echo "<pre>"; $data = ['a', 'b', 'c']; foreach($data as $key => $val){ $ ...

  7. 微软研究员Eric Horvitz解读 “人工智能百年研究”

    本文翻译自ScienceInsider"A 100-year study of artificial intelligence? Microsoft Research's Eric Horv ...

  8. 瑞星发布Linux系统安全报告:Linux病毒或将大面积爆发

    近半年来,由于中央推荐使用国产Linux操作系统,国产Linux操作系统开始受到政府机关及大型企事业机关单位的高度重视.很多人都认为,以Linux系统为基础的国产操作系统最符合国家.政府和企业信息安全 ...

  9. A - Divide it! CodeForces - 1176A

    题目: You are given an integer nn. You can perform any of the following operations with this number an ...

  10. Sublime Text 2+Zen Coding

    自己长期使用editplus做代码编辑,使用过DW,还是习惯前者的使用环境.好友推荐,试试新的编码工具——Sublime Text 2.在代码制作过程中,最主要的是1)快速复制的模式化工作  2)零碎 ...