1.6 基于资源的授权

  前面二篇中,熟悉了五种授权方式(对于上篇讲的策略授权,还有IAuthorizationPolicyProvider的自定义授权策略提供程序没有讲,后面再补充)。本篇讲的授权方式不是一种全新的授权方式,而是授权应用场景的灵活控制。

  基于资源的授权是控制在 razor pages处理程序或mvc的action之中。资源:比如作者发表的文章,只有该作者才能更新文章,文章在进行授权评估之前,必须从数据存储中检索文章。

  (1) 引用 IAuthorizationService 授权服务

    授权作为实现IAuthorizationService服务并注册到服务集合的Startup类。 下面在mvc action中引用该接口,准备进行授权控制。

    public class DocumentController : Controller

    {

        private readonly IAuthorizationService _authorizationService;

        private readonly IDocumentRepository _documentRepository;

        public DocumentController(IAuthorizationService authorizationService,

                                  IDocumentRepository documentRepository)

        {

            _authorizationService = authorizationService;

            _documentRepository = documentRepository;

        }

    }

    IAuthorizationService接口有二个AuthorizeAsync方法重载:

        //重载1:指定资源resource和策略需求列表

         Task<AuthorizationResult> AuthorizeAsync(ClaimsPrincipal user, object resource, IEnumerable<IAuthorizationRequirement> requirements);

        //重载2:指定资源resource和策略名称

        Task<AuthorizationResult> AuthorizeAsync(ClaimsPrincipal user, object resource, string policyName);

  (2) 授权需求定义

    基于 CRUD (创建、 读取、 更新、 删除) 的授权操作,使用OperationAuthorizationRequirement帮助器类,来提供一些授权名称。

    /// <summary>

    ///授权四种需求Crud

    /// </summary>

    public static class Operations

    {

        public static OperationAuthorizationRequirement Create =

            new OperationAuthorizationRequirement { Name = nameof(Create) };

        public static OperationAuthorizationRequirement Read =

            new OperationAuthorizationRequirement { Name = nameof(Read) };

        public static OperationAuthorizationRequirement Update =

            new OperationAuthorizationRequirement { Name = nameof(Update) };

        public static OperationAuthorizationRequirement Delete =

            new OperationAuthorizationRequirement { Name = nameof(Delete) };

    }

  (3) 定义处理程序

    /// <summary>

    /// 接口AuthorizationHandler<TRequirement, TResource>

    /// 使用OperationAuthorizationRequirement需求和Document资源

    /// </summary>

    public class DocumentAuthorizationCrudHandler: AuthorizationHandler<OperationAuthorizationRequirement, Document>

    {

        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context,

                                                       OperationAuthorizationRequirement requirement,

                                                       Document resource)

        {

            //登录的当前用户是该文章作者,并且有读取权限。实际开发中从数据库读取TResource资源和requirement需求(需求这里是CRUD权限)

            //动态获取时,可以基于用户声明表UserClaim,也可以基于角色声明表RoleClaim,使用context.User.HasClaim 来判断

            if (context.User.Identity?.Name == resource.Author &&

                requirement.Name == Operations.Read.Name)

            {

                context.Succeed(requirement);

            }

            return Task.CompletedTask;

        }

    }

  (4) Action中使用AuthorizeAsync验证授权

    当用户登录后,要访问该文章页面时(/Document/index/1),使用AuthorizeAsync方法进行调用,确定当前用户是否允许查看提供的文章.

        /// <summary>

        /// /Document/index/1

        /// </summary>

        /// <param name="documentId"></param>

        /// <returns></returns>

        public async Task<IActionResult> Index(int documentId)

        {

            Document Document = _documentRepository.Find(documentId);

            if (Document == null)

            {

                return new NotFoundResult();

            }

            //使用AuthorizeAsync重载方法(1), 来验证用户访问资源权限,条件是当前用户必需是924964690@qq.com,因为是该用户的文章

            var authorizationResult = await _authorizationService.AuthorizeAsync(User, Document, Operations.Read);

            //如果授权成功,则返回查看文档的页面

            if (authorizationResult.Succeeded)

            {

                return View();

            }

            //用户已通过身份验证,但授权失败

            else if (User.Identity.IsAuthenticated)

            {

                return new ForbidResult();

            }

            else

            {

                //Challenge:怀疑,返回重新执行身份认证,重定向到登录页

                return new ChallengeResult();

            }

        }

  (5) Document实体的定义和该实体仓储

    public class Document

    {

        public string Author { get; set; }

        public byte[] Content { get; set; }

        public int ID { get; set; }

        public string Title { get; set; }

    }

    public class DocumentRepository : IDocumentRepository

    {

        public Document Find(int documentId)

        {

            return new Document

            {

                Author = "924964690@qq.com",

                Content = null,

                ID = documentId,

                Title = "Test Document"

            };

        }

    }

    public interface IDocumentRepository

    {

        Document Find(int documentId);

    }

  (6) 添加路由规则,和注入IAuthorizationService服务

    services.AddSingleton<IAuthorizationHandler, DocumentAuthorizationCrudHandler>();
   routes.MapRoute(

                   name: "document",

                   template: "{controller=Document}/{action=Index}/{documentId?}");

    最后当924964690@qq.com用户登录成功后,访问Document/index/1,查看该文章成功。

  总结:基于资源的授权,是应用在mvc的action 中或razor pages处理程序中,是区别之前的几种授权方式, 因为之前讲的授权是:启动程序时授权文件或文件夹,在控制器 action 和PageModel之上应用[Authorize]特性。

       对于AuthorizeAsync重载方法(2)的使用案例查看官网文档,这里不在介绍。

  思考:在实际开发项目中,处理资源如(增、删、改、查)权限,可以考虑本篇的基于资源的授权,但上面的示例需要改进,因为示例中定义的处理程序只针对Document资源,以及需求(指权限)是写死在处理程序中。如果要实现通用的资源授权,资源和需求权限需要从数据库中获取。例如考虑如下修改:

         //定义通用的TResource

         public class  AuthorizationResource

           {

              public string UrlResource{get;set;}

           }
       //在index的action中修改

         .AuthorizeAsync(User, new AuthorizationResource (){UrlResource="/Document/index/1" }, Operations.Read);
      //处理程序修改,省略了授权逻辑处理(数据库获取需求和资源)

         public class DocumentAuthorizationCrudHandler: AuthorizationHandler<OperationAuthorizationRequirement, AuthorizationResource >

    

1.7 基于视图的授权    

  在项目开发中,授权权限还需要控制页面,对页面的html进行显示或隐藏。需要在页面上使用授权服务依赖关系注入,若要将授权服务注入到 Razor 视图中,使用@inject指令。如果希望每个视图都能使用授权服务,需要将@inject指令插入 _ViewImports.cshtml的文件视图中。下面的视图授权控制是基于资源的授权

    @using Microsoft.AspNetCore.Authorization

    @inject IAuthorizationService AuthorizationService
    <!--  指定策略名称  !-->

  @if ((await AuthorizationService.AuthorizeAsync(User, "PolicyName")).Succeeded)

  {

      <p>This paragraph is displayed because you fulfilled PolicyName.</p>

  }
    <!--  Model是指TResource !-->

   @if ((await AuthorizationService.AuthorizeAsync(User, Model, Operations.Edit)).Succeeded)

  {

      <p><a class="btn btn-default" role="button"

          href="@Url.Action("Edit", "Document", new { id = Model.Id })">Edit</a></p>

  }

  总结:视图中授权控制不能保证权限安全,还需要在action中实现授权服务。开源Github

  参考文献

    基于资源的授权

    基于视图的授权

asp.net core系列 51 Identity 授权(下)的更多相关文章

  1. asp.net core系列 49 Identity 授权(上)

    一.概述 授权是指用户能够访问资源的权限,如页面数据的查看.编辑.新增.删除.导出.下载等权限.ASP.NET Core 授权提供了多种且灵活的方式,包括:Razor pages授权约定.简单授权.R ...

  2. asp.net core系列 50 Identity 授权(中)

    1.5 基于策略的授权 在上篇中,已经讲到了授权访问(authorization)的四种方式.其中Razor Pages授权约定和简单授权二种方式更像是身份认证(authentication) ,因为 ...

  3. asp.net core系列 46 Identity介绍

    一. Identity 介绍 ASP.NET Core Identity是一个会员系统,可为ASP.NET Core应用程序添加登录功能.可以使用SQL Server数据库配置身份以存储用户名,密码和 ...

  4. asp.net core系列 52 Identity 其它关注点

    一.登录分析 在使用identity身份验证登录时,在login中调用的方法是: var result = await _signInManager.PasswordSignInAsync(Input ...

  5. asp.net core系列 62 CQRS架构下Equinox开源项目分析

    一.DDD分层架构介绍 本篇分析CQRS架构下的Equinox开源项目.该项目在github上star占有2.4k.便决定分析Equinox项目来学习下CQRS架构.再讲CQRS架构时,先简述下DDD ...

  6. asp.net core系列 48 Identity 身份模型自定义

    一.概述 ASP.NET Core Identity提供了一个框架,用于管理和存储在 ASP.NET Core 应用中的用户帐户. Identity添加到项目时单个用户帐户选择作为身份验证机制. 默认 ...

  7. asp.net core系列 47 Identity 自定义用户数据

    一.概述 接着上篇的WebAppIdentityDemo项目,将自定义用户数据添加到Identity DB,自定义扩展的用户数据类应继承IdentityUser类, 文件名为Areas / Ident ...

  8. asp.net core 系列 11 配置configuration (下)

    四. 文件配置提供程序AddIniFile. AddXmlFile.AddJsonFile FileConfigurationProvider 是从文件系统加载配置的基类. 以下配置提供程序专用于特定 ...

  9. 【目录】asp.net core系列篇

    随笔分类 - asp.net core系列篇 asp.net core系列 68 Filter管道过滤器 摘要: 一.概述 本篇详细了解一下asp.net core filters,filter叫&q ...

随机推荐

  1. 分布式逻辑管理平台XXL-GLUE

    <分布式逻辑管理平台XXL-GLUE>    一.简介 1.1 概述 XXL-GLUE 是一个分布式环境下的 "可执行逻辑单元" 管理平台, 学习简单,扩展JVM的动态 ...

  2. Flex 对Xml对象操作

    一.读取.xml文件() import flash.events.Event;   import flash.net.URLLoader;   import flash.net.URLRequest; ...

  3. 在Java中谈尾递归--尾递归和垃圾回收的比较(转载)

    我不是故意在JAVA中谈尾递归的,因为在JAVA中谈尾递归真的是要绕好几个弯,只是我确实只有JAVA学得比较好,虽然确实C是在学校学过还考了90+,真学得没自学的JAVA好 不过也是因为要绕几个弯,所 ...

  4. hashmap,hashTable concurrentHashMap 是否为线程安全,区别,如何实现的

    线程安全类 在集合框架中,有些类是线程安全的,这些都是jdk1.1中的出现的.在jdk1.2之后,就出现许许多多非线程安全的类. 下面是这些线程安全的同步的类: vector:就比arraylist多 ...

  5. 学HTTP协议所要知道的基础知识(微总结)

    1.网络本质 进行资源共享和信息传输. 2.基于网络的应用程序的本质 就是获取数据和传输数据给用户使用. 3.TCP/IP协议栈工作流程 实体层是不属于TCP/IP协议栈的一层.也就是说TCP/IP协 ...

  6. Python:怎样用线程将任务并行化?

    如果待处理任务满足: 可拆分,即任务可以被拆分为多个子任务,或任务是多个相同的任务的集合: 任务不是CPU密集型的,如任务涉及到较多IO操作(如文件读取和网络数据处理) 则使用多线程将任务并行运行,能 ...

  7. 写XML

    //创XML建对象 XmlDocument doc = new XmlDocument(); //bool a = false; //声明根节点 XmlElement books; //判断文件是否存 ...

  8. IOC 的理解与解释

    IOC 是什么? Ioc-Inversion of Control,即"控制反转",不是什么技术,而是一种设计思想.在Java开发中,Ioc意味着将你设计好的对象交给容器控制,而不 ...

  9. Linux时间子系统之一:认识timer_list和timer_stats和使用

    内核版本:v3.4.xxx 一.前言 内核提供了方便查看当前系统TickDevice.活动的Timer列表以及Timer使用的统计信息. 内核分别用两个节点来表示TimerList和Timer统计信息 ...

  10. HTML(总结)

    HTML 浏览器内核有哪些 Trident:IE Gecko:Firefox Webkit:Chrome Safari Presto:Opera(投奔Webkit) html5的一些新特性 1. 拖拽 ...