这个系列文章介绍的是Identity Server 4 实施 OpenID Connect 的 Hybrid Flow.

保护MVC客户端: https://www.cnblogs.com/cgzl/p/9253667.html,  https://www.cnblogs.com/cgzl/p/9268371.html

保护API资源(这里用到了RBAC: Role-based Access Control 基于角色的访问权限控制 官方文档): https://www.cnblogs.com/cgzl/p/9276278.html

本文介绍如何使用ABAC (Attribute-based Access Control 基于属性的访问权限控制)保护API资源.

相关代码: https://github.com/solenovex/Identity-Server-4-Tutorial-Code 里面04那部分.

ABAC

ABAC, Attribute-based Access Control, 基于属性的访问权限控制. 有时会把它叫做CBAC, Claim-based Access Control (官方文档)或 PBAC, Policy-based Access Control (官方文档). 它们表达的都差不多是一个意思 (尽管ASP.NET Core官方文档把它们分成两页介绍).

RBAC vs ABAC

ABAC允许复杂的权限规则.

代码实现

首先可以再添加一个国籍的IdentityResource (scope):

然后配置Client, 允许其请求上面这个scope:

配置API资源, 后边我需要用到nationality和gender:

最后再TestUser里面添加一个nationality的claim, 再添加一个gender(性别)的claim:

(这里我添加了一个Kevin用户, 后边会用)

这里的gender 这个claim是在profile scope里面预定的, 所以我无需再定义一个包括gender的scope.

然后切换到MVC客户端项目, 首先要把nationality这个scope添加到需要请求的scopes里面:

这样的话国籍就可以通过用户信息端点返回了.

由于在MVC客户端里面需要识别出国籍这个Identity Claim, 所以需要做一下映射:

接下来就可以创建策略了, 还是在Startup的ConfigureServices里:

调用services.AddAuthorization()方法, 在它的参数里可以进行配置.

随后使用AddPolicy()定义了一个策略, 然后在这个方法里对这个策略进行了配置. 它的名字是"CanViewAbout".

首先这个策略要求用户已经通过身份认证, 然后国籍claim的值是"China", 性别是女性.

这里面使用的都是内置的策略选项, 适合相对不太复杂的规则.

其中RequireClaim()可以填写多个候选值:

在这里也可以使用RequireRole()方法, 所以角色也可以参与进来.

最后在MVC的HomeController的AboutAction上面:

两种写法都是使用的策略(Policy).

使用策略的好处就是, 规则改变的时候, 无需修改Controller里面的代码, 只需要修改策略的配置即可.

下面测试一下MVC客户端:

登录的是Nick, 她符合策略:

再登入Dave试试, 他不符合策略, 所以结果是Forbidden:

如果需要在cshtml里面使用策略的话, 请使用(await AuthorizationServices.AuthorizeAsync(User, "CanViewAbout")).Succeeded, 这个方法.

不过现在要cshtml里面注入这个服务: @inject IAuthorizationService AuthorizationService.

扩展授权策略

使用内置的策略选项可以处理一些比较简单的规则, 但是针对复杂一点的规则, 就需要对策略进行扩展了.

ASP.NET Core的这部分文档介绍了这方面的内容: https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-2.1

用下图解释一下整个授权的结构:

一个Action可以附加多个授权策略, 它们必须都被满足.

每个策略可以有多个要求(Requirement), 这些要求可以通过内置的选项来制定, 也可以使用自定义的要求, 自定义的Requirement需要实现IAuthorizationRequirement接口.

每个Requirement都有一个或多个处理者(Handlers), 这些handlers派生于AuthorizationHandler<T>, T就是Requirement的类型. 下面要注意:

如果其中任意一个handler返回Succeed(成功), 而所有的handler都没有返回失败, 那么这个Requirement就被满足了. 所以handler的处理结果有三种情况: 明确的成功, 明确的失败, 没有明确指出是成功还是失败.

代码实现

前一部分保护的是MVC客户端, 那么这一部分就来保护API吧.

现在API项目里建立一个Requirement:

它的构造函数可以传递一些参数进来, 但是我这个例子并不需要.

然后建立一个Handler:

里面就是一些判断逻辑. AuthorizationHandlerContext.Resource可以转化为AuthorizationFilterContext, 它里面有很多东西, 这个可以查看文档.

如果它是空的, 那么就返回明确的失败.

随后取出用户的gender和nationality, 分别有两种情况可以满足需求, 明确的设置成功. 其它的情况就直接返回, 如果有其它handler存在, 就依赖于其它handler的结果了.

但是如果这个handler成功了, 但是有其它handler是失败的, 那么最终还是没有满足这个requirement.

最后在API的startup里面注册:

注册Handler的时候选择的生命周期是Singleton, 但是如果Handler里面例如注入了Repository, 那么可以生命周期可以改为Scoped.

最后在API的Controller里设置权限策略:

测试, 使用Nick和Dave都应该可以在Contact页面查询出Country资源的数据:

但是Kevin就没有权限访问API了:

Hybrid Flow先介绍到这. 有空再介绍下Implicit....

Identity Server 4 - Hybrid Flow - 使用ABAC保护MVC客户端和API资源的更多相关文章

  1. Identity Server 4 - Hybrid Flow - Claims

    前一篇 Identity Server 4 - Hybrid Flow - MVC客户端身份验证: https://www.cnblogs.com/cgzl/p/9253667.html Claims ...

  2. Identity Server 4 - Hybrid Flow - 保护API资源

    这个系列文章介绍的是Identity Server 4 的 Hybrid Flow, 前两篇文章介绍了如何保护MVC客户端, 本文介绍如何保护API资源. 保护MVC客户端的文章: https://w ...

  3. Identity Server 4 - Hybrid Flow - MVC客户端身份验证

    预备知识 可能需要看一点点预备知识 OAuth 2.0 不完全简介: https://www.cnblogs.com/cgzl/p/9221488.html OpenID Connect 不完全简介: ...

  4. ASP.NET Core Web API 索引 (更新Identity Server 4 视频教程)

    GraphQL 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(上) 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(下) [视频] 使用ASP.NET C ...

  5. 第65章 博客帖子 - Identity Server 4 中文文档(v1.0.0)

    第65章 博客帖子 65.1 团队帖子 65.1.1 2019 IdentityServer中的范围和声明设计 尝试使用IdentityServer4的设备流程 OAuth2中隐含流的状态 另一种保护 ...

  6. .net core 中 identity server 4 之术语

    id4的职责: 保护你的资源 通过本地 账户库(Account Store)或者外部身份提供其 认证用户 提供Session管理以及SSO 管理和认证客户端 发行身份及访问Token给客户端 验证To ...

  7. 从头编写asp.net core 2.0 web api 基础框架 (5) + 使用Identity Server 4建立Authorization Server (7) 可运行前后台源码

    前台使用angular 5, 后台是asp.net core 2.0 web api + identity server 4. 从头编写asp.net core 2.0 web api 基础框架: 第 ...

  8. net core 2.0 web api + Identity Server 4 + angular 5

    net core 2.0 web api + Identity Server 4 + angular 5前台使用angular 5, 后台是asp.net core 2.0 web api + ide ...

  9. asp.net core 2.0 web api + Identity Server 4 + angular 5 可运行前后台源码

    前台使用angular 5, 后台是asp.net core 2.0 web api + identity server 4. 从头编写asp.net core 2.0 web api 基础框架: 第 ...

随机推荐

  1. HTML5 & MUI 界面样式

    垂直居中+自动换行 样式效果如下所示,当文字没有超出一行时,显示如“备注信息”,当文字超出一行时,显示如“维修地点” HTML代码如下: <div class="mui-input-r ...

  2. RabbitMQ 集群与网络分区(理论知识)

    关于network partition网络设备故障导致的网络分裂.比如,存在A\B\C\D\E五个节点,A\B处于同一子网,B\C\D处于另外一子网,中间通过交换机相连.若两个子网间的交换机故障了即发 ...

  3. cluster.go

    package clientv3 import (     pb "github.com/coreos/etcd/etcdserver/etcdserverpb"     &quo ...

  4. bzoj 3239 poj 2417 BSGS

    BSGS算法,预处理出ϕ(c)−−−−√内的a的幂,每次再一块一块的往上找,转移时将b乘上逆元,哈希表里O(1)查询即可 #include<cstdio> #include<cstr ...

  5. bzoj 1901 主席树+树状数组

    修改+查询第k小值 单纯主席树修改会打乱所有,所以再套一个树状数组维护前缀和使得修改,查询都是log 对了,bzoj上不需要读入组数,蜜汁re.. #include<cstdio> #in ...

  6. java可用与串口通信的一些库

    java原生对串口的支持只有javax.comm,javax.comm比较老了,而且不支持64位系统,我在看jlibmodbus(一个java实现的modbus协议栈)的时候发现了几个可供使用的jav ...

  7. 卸载office密钥的命令

    1,管理员运行CMD或者PowerShell2,转到2016安装目录,C:\Program Files\Microsoft Office\Office16,这是64位的,32位的在C:\Program ...

  8. js面试题1

    1.介绍js的基本数据类型 Undefined.Null.Boolean.Number.String 2.js有哪些内置对象? 数据封装类对象:Object.Array.Boolean.Number ...

  9. Django web框架开发基础-django实现留言板功能

    1.创建项目 cmd  django-admin startpoject cloudms 2.创建APP cmd django-admin startapp msgapp 3.修改settings,T ...

  10. 将wiki人脸数据集中的图片按男女分类

    import shutil f_in = 'D:/wiki_crop' # 读取文件中图片信息根据性别分类图片到对应目录中 dirroot = "D:/" f = open(dir ...