翻译如下:

  在封面下,角色授权和声明授权使用需求,需求的处理程序和预配置的策略。 这些构建块允许您在代码中表示授权评估,从而允许更丰富,可重用和容易测试的授权结构。

  授权策略由一个或多个需求组成,并在应用程序启动时作为授权服务配置的一部分注册,在Startup.cs文件中的ConfigureServices中。

public void ConfigureServices(IServiceCollection services)

{

    services.AddMvc();

    services.AddAuthorization(options =>

    {

        options.AddPolicy("Over21",

                          policy => policy.Requirements.Add(new MinimumAgeRequirement(21)));

    }

});

  在这里您可以看到一个“Over21”策略创建有一个要求,最小年龄,作为参数传递到需求。

  通过指定策略名称,使用Authorize属性应用策略,例如:

[Authorize(Policy="Over21")]

public class AlcoholPurchaseRequirementsController : Controller

{

    public ActionResult Login()

    {

    }

    public ActionResult Logout()

    {

    }

}

  

Requirements(条件/要求)

  授权requirement是策略可用于评估当前用户主体的数据参数的集合。 在我们的最低年龄政策中,要求我们有一个单一参数,即最低年龄。 要求必须实现IAuthorizationRequirement。 这是一个空的,标记接口。 参数化的最低年龄要求可以如下实现:  

public class MinimumAgeRequirement : IAuthorizationRequirement

{

    public MinimumAgeRequirement(int age)

    {

        MinimumAge = age;

    }

    protected int MinimumAge { get; set; }

}

  一个requirement不需要具有数据或属性。

授权处理程序

  授权处理程序负责评估requirement的任何属性。 授权处理程序必须根据提供的AuthorizationContext来评估它们,以决定是否允许授权。 一个requirement可以有多个处理器。 处理程序必须继承AuthorizationHandler <T>,其中T是它处理的requirement。

  最小年龄处理程序可能如下所示:

public class MinimumAgeHandler : AuthorizationHandler<MinimumAgeRequirement>

{

    protected override Task HandleRequirementAsync(AuthorizationContext context, MinimumAgeRequirement requirement)

    {

        if (!context.User.HasClaim(c => c.Type == ClaimTypes.DateOfBirth &&

                                   c.Issuer == "http://contoso.com"))

        {

            // .NET 4.x -> return Task.FromResult(0);

            return Task.CompletedTask;

        }

        var dateOfBirth = Convert.ToDateTime(context.User.FindFirst(

            c => c.Type == ClaimTypes.DateOfBirth && c.Issuer == "http://contoso.com").Value);

        int calculatedAge = DateTime.Today.Year - dateOfBirth.Year;

        if (dateOfBirth > DateTime.Today.AddYears(-calculatedAge))

        {

            calculatedAge--;

        }

        if (calculatedAge >= requirement.MinimumAge)

        {

            context.Succeed(requirement);

        }

        return Task.CompletedTask;

    }

}

  在上面的代码中,我们首先查看当前用户主体是否具有由我们知道和信任的发行方发布的出生日期索赔日期。 如果索赔失踪,我们不能授权,所以我们返回。 如果我们有一个索赔,我们计算出用户的年龄,如果他们满足最低年龄通过的要求,那么授权已经成功。 一旦授权成功,我们调用context.Succeed()在作为参数成功的需求中传递。

  处理程序必须在配置期间在服务集合中注册,例如:

public void ConfigureServices(IServiceCollection services)

{

    services.AddMvc();

    services.AddAuthorization(options =>

    {

        options.AddPolicy("Over21",

                          policy => policy.Requirements.Add(new MinimumAgeRequirement(21)));

    });

    services.AddSingleton<IAuthorizationHandler, MinimumAgeHandler>();

}

  每个处理程序通过使用services.AddSingleton <AuthorizationHandler,YourHandlerClass>();添加到服务集合。 传入你的处理程序类。

处理程序需要返回什么?

  你可以在我们的处理程序示例中看到Handle()方法没有返回值,那么我们如何指示成功或失败?

  处理程序通过调用context.Succeed(授权需求要求)来指示成功,传递已成功验证的需求。

  处理程序不需要一般处理故障,因为相同需求的其他处理程序可能会成功。

  为了保证失败,即使其他处理程序为一个需求成功,调用context.Fail。

  无论你在处理程序中调用什么,当策略需要该需求时,将调用一个需求的所有处理程序。 这允许需求具有副作用,例如日志记录,即使在另一个处理程序中调用了context.Fail(),它也总是会发生。

为什么需要多个处理程序?

  如果您希望评估基于OR基础,则为单个需求实现多个处理程序。 例如,微软的门只能用钥匙卡打开。 如果你把钥匙卡留在家里,接待员打印一张临时贴纸,为你打开门。 在这种情况下,您将有一个单独的要求,EnterBuilding,但多个处理程序,每个检查单个要求。

public class EnterBuildingRequirement : IAuthorizationRequirement

{

}

public class BadgeEntryHandler : AuthorizationHandler<EnterBuildingRequirement>

{

    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, EnterBuildingRequirement requirement)

    {

        if (context.User.HasClaim(c => c.Type == ClaimTypes.BadgeId &&

                                       c.Issuer == "http://microsoftsecurity"))

        {

            context.Succeed(requirement);

        }

        return Task.CompletedTask;

    }

}

public class HasTemporaryStickerHandler : AuthorizationHandler<EnterBuildingRequirement>

{

    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, EnterBuildingRequirement requirement)

    {

        if (context.User.HasClaim(c => c.Type == ClaimTypes.TemporaryBadgeId &&

                                       c.Issuer == "https://microsoftsecurity"))

        {

            // We'd also check the expiration date on the sticker.

            context.Succeed(requirement);

        }

        return Task.CompletedTask;

    }

}

  现在,假设当策略评估输入构建要求时注册两个处理程序,如果任一处理程序成功,则策略评估将成功。

使用Func来实现策略

  这里可以是其中完成策略在代码中简单表示的情况。 在使用RequireAssertion策略构建器配置策略时,可以简单地提供Func <AuthorizationHandlerContext,bool>。

  例如,以前的BadgeEntryHandler可以被重写如下:  

services.AddAuthorization(options =>

    {

        options.AddPolicy("BadgeEntry",

                          policy => policy.RequireAssertion(context =>

                                  context.User.HasClaim(c =>

                                     (c.Type == ClaimTypes.BadgeId ||

                                      c.Type == ClaimTypes.TemporaryBadgeId)

                                      && c.Issuer == "https://microsoftsecurity"));

                          }));

    }

 }

  

在处理程序中访问MVC请求上下文

  您必须在授权处理程序中实现的Handle方法有两个参数:AuthorizationContext和要处理的要求。 框架(如MVC或Jabbr)可以向AuthorizationContext的Resource属性添加任何对象,以传递额外信息。

  例如,MVC在resource属性中传递一个Microsoft.AspNetCore.Mvc.Filters.AuthorizationFilterContext的实例,该属性用于访问HttpContext,RouteData和MVC提供的所有内容。

  Resource属性的使用是特定于框架的。 使用资源属性中的信息将限制您的授权策略到特定框架。 您应该使用as关键字转换Resource属性,然后检查转换是否成功,以确保您的代码在其他框架上运行时不会与InvalidCastExceptions崩溃;

var mvcContext = context.Resource as Microsoft.AspNetCore.Mvc.Filters.AuthorizationFilterContext;

if (mvcContext != null)

{

    // Examine MVC specific things like routing data.

}

  

Asp.Net Core--自定义基于策略的授权的更多相关文章

  1. asp.net core 自定义基于 HttpContext 的 Serilog Enricher

    asp.net core 自定义基于 HttpContext 的 Serilog Enricher Intro 通过 HttpContext 我们可以拿到很多有用的信息,比如 Path/QuerySt ...

  2. ASP.NET Core WebApi基于JWT实现接口授权验证

    一.ASP.Net Core WebApi JWT课程前言 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再 ...

  3. 【ASP.NET Core】运行原理(4):授权

    本系列将分析ASP.NET Core运行原理 [ASP.NET Core]运行原理(1):创建WebHost [ASP.NET Core]运行原理(2):启动WebHost [ASP.NET Core ...

  4. asp.net core 自定义认证方式--请求头认证

    asp.net core 自定义认证方式--请求头认证 Intro 最近开始真正的实践了一些网关的东西,最近写几篇文章分享一下我的实践以及遇到的问题. 本文主要介绍网关后面的服务如何进行认证. 解决思 ...

  5. asp.net core 自定义 Policy 替换 AllowAnonymous 的行为

    asp.net core 自定义 Policy 替换 AllowAnonymous 的行为 Intro 最近对我们的服务进行了改造,原本内部服务在内部可以匿名调用,现在增加了限制,通过 identit ...

  6. ASP.NET Core WebApi基于Redis实现Token接口安全认证

    一.课程介绍 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NET WebSer ...

  7. 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分

    原文:使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)--第1部分 原文链接:https://www.codeproject.com/Articles/5160941/ASP- ...

  8. asp.net core自定义端口

    asp.net Core 自定义端口 官方文档 aspnet内库源码: https://github.com/aspnet dotnet系统内库源码:https://github.com/dotnet ...

  9. 如何在ASP.NET Core自定义中间件中读取Request.Body和Response.Body的内容?

    原文:如何在ASP.NET Core自定义中间件中读取Request.Body和Response.Body的内容? 文章名称: 如何在ASP.NET Core自定义中间件读取Request.Body和 ...

随机推荐

  1. H5框架之Bootstrap(一)

    H5框架之Bootstrap(一) 接下来的时间里,我将和大家一起对当前非常流行的前端框架Bootstrap进行速度的学习,以案例的形式.对刚开始想学习Bootstrap的同学而找不着边的就很有帮助了 ...

  2. webstrom live templates

    javascript: 在live templates底部要选择javascript # $('#$END$') $ $($end$) $bd $(document.body) $d $(docume ...

  3. 微信小程序之数据绑定(五)

    [未经作者本人允许,请勿以任何形式转载] 前几篇讲述微信小程序开发工具使用.生命周期和事件. 本次讲述微信小程序数据和视图绑定 >>>数据视图绑定 做前端开发的同学,尤其是WEB前端 ...

  4. 马后炮之12306抢票工具(四)--抢票Demo,2014年1月9日终结版

    时隔一年多,终于朋友的忽悠下吧抢票Demo的最后一步完善了,与2014年1月9日成功生成车票. Demo仅经过自己测试,并未在高峰期进行测试,代码质量很差,因为赶工,套用去年模板并未使用设计模式. 代 ...

  5. PHP中使用CURL请求页面,使用fiddler进行抓包

    在PHP中使用CURL访问页面: <?php $ch = curl_init('http://www.baidu.com'); curl_setopt($ch, CURLOPT_RETURNTR ...

  6. socketAPI:一个最简单的服务器和对应的客户端C语言的实现

    基于linux,该实例实现了服务端传了一个hello world给客户端.socket()创建socketbind()绑定socket到IP地址和端口listen()服务器监听客户端的连接connec ...

  7. C/C++实践笔记 008

    逗号运算符优先级最低逗号运算符的值是最后一个的值int a=(1,2);执行结果为2逗号运算符每一条语句都要执行,执行方向从左向右 三目运算符表达式1?表达式2:表达式3 C语言里只有0和非0的区别 ...

  8. js的this上下文的坑

    很明显,this这个坑,在多层嵌套的时候还是一样被废,不管是call, apply还是bind. 例如: var fun = function() { this.name = 'test'; var ...

  9. 关于select那点事

    select: 通过监视多个文件描述符的数组.当select()返回后 文件描述符便会被内核修改标志位,使进程 能进行后续操作 ------------------------------------ ...

  10. CentOS 7.2 安装配置mysql主从服务器

    MySQL官方压缩包安装: 1:下载mysql官方版本,此处以目前最新版本5.7.14为例,下载的64位版本文件为: mysql-5.7.14-linux-glibc2.5-x86_64.tar 2: ...