2. 程式人生 > >ASP.NET Core MVC 授權的擴充套件:自定義 Authorize Attribute 和 IApplicationModelProvide

ASP.NET Core MVC 授權的擴充套件:自定義 Authorize Attribute 和 IApplicationModelProvide

阿新 發佈:2018-11-29

一、概述

ASP.NET Core MVC 提供了基於角色( Role )、宣告( Chaim ) 和策略 ( Policy ) 等的授權方式。在實際應用中,可能採用部門( Department , 本文采用使用者組 Group )、職位 ( 可繼續沿用 Role )、許可權( Permission )的方式進行授權。要達到這個目的,僅僅通過自定義 IAuthorizationPolicyProvider 是不行的。本文通過自定義 IApplicationModelProvide

 進行擴充套件。

二、PermissionAuthorizeAttribute : IPermissionAuthorizeData

AuthorizeAttribute 類實現了 IAuthorizeData 介面:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
namespace Microsoft.AspNetCore.Authorization
{
  /// <summary>
  /// Defines the set of data required to apply authorization rules to a resource.
  /// </summary>
 public interface IAuthorizeData
 {
 /// <summary>
 /// Gets or sets the policy name that determines access to the resource.
 /// </summary>
 string Policy { get; set; }
 /// <summary>
 /// Gets or sets a comma delimited list of roles that are allowed to access the resource.
 /// </summary>
 string Roles { get; set; }
 /// <summary>
 /// Gets or sets a comma delimited list of schemes from which user information is constructed.
 /// </summary>
 string AuthenticationSchemes { get; set; }
 }
}

使用 AuthorizeAttribute 不外乎如下幾種形式:

1
2
3
4
 
[Authorize]
[Authorize("SomePolicy")]
[Authorize(Roles = "角色1,角色2")]
[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]

當然,引數還可以組合起來。另外,Roles 和 AuthenticationSchemes 的值以半形逗號分隔,是 Or

 的關係;多個 Authorize 是 And 的關係;Policy 、Roles 和 AuthenticationSchemes 如果同時使用,也是 And 的關係。

如果要擴充套件 AuthorizeAttribute,先擴充套件 IAuthorizeData 增加新的屬性:

1
2
3
4
5
 
public interface IPermissionAuthorizeData : IAuthorizeData
{
    string Groups { get; set; }
    string Permissions { get; set; }
}

然後定義 AuthorizeAttribute:

1
2
3
4
5
6
7
8
9
 
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class PermissionAuthorizeAttribute : Attribute, IPermissionAuthorizeData
{
    public string Policy { get; set; }
    public string Roles { get; set; }
 public string AuthenticationSchemes { get; set; }
 public string Groups { get; set; }
 public string Permissions { get; set; }
}

現在,在 Controller 或 Action 上就可以這樣使用了:

1
2
3
 
[PermissionAuthorize(Roles = "經理,副經理")] // 經理或部門經理
[PermissionAuthorize(Groups = "研發部,生產部", Roles = "經理"] // 研發部經理或生成部經理。Groups 和 Roles 是 `And` 的關係。
[PermissionAuthorize(Groups = "研發部,生產部", Roles = "經理", Permissions = "請假審批"] // 研發部經理或生成部經理,並且有請假審批的許可權。Groups 、Roles 和 Permission 是 `And` 的關係。

資料已經準備好,下一步就是怎麼提取出來。通過擴充套件 AuthorizationApplicationModelProvider 來實現。

三、PermissionAuthorizationApplicationModelProvider : IApplicationModelProvider

AuthorizationApplicationModelProvider 類的作用是構造 AuthorizeFilter 物件放入 ControllerModel 或 ActionModel 的 Filters 屬性中。具體過程是先提取 Controller 和 Action 實現了 IAuthorizeData 介面的 Attribute,如果使用的是預設的DefaultAuthorizationPolicyProvider,則會先建立一個 AuthorizationPolicy 物件作為 AuthorizeFilter 建構函式的引數。
建立 AuthorizationPolicy 物件是由 AuthorizationPolicy 的靜態方法 public static async Task<AuthorizationPolicy> CombineAsync(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authorizeData) 來完成的。該靜態方法會解析 IAuthorizeData 的資料,但不懂解析 IPermissionAuthorizeData

因為 AuthorizationApplicationModelProvider 類對 AuthorizationPolicy.CombineAsync 靜態方法有依賴,這裡不得不做一個類似的 PermissionAuthorizationApplicationModelProvider 類,在本類實現 CombineAsync 方法。暫且不論該方法放在本類是否合適的問題。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
 
       public static AuthorizeFilter GetFilter(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authData)
       {
           // The default policy provider will make the same policy for given input, so make it only once.
           // This will always execute synchronously.
           if (policyProvider.GetType() == typeof(DefaultAuthorizationPolicyProvider))
 {
 var policy = CombineAsync(policyProvider, authData).GetAwaiter().GetResult();
 return new AuthorizeFilter(policy);
 }
 else
 {
 return new AuthorizeFilter(policyProvider, authData);
 }
 }
 private static async Task<AuthorizationPolicy> CombineAsync(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authorizeData)
 {
 if (policyProvider == null)
 {
 throw new ArgumentNullException(nameof(policyProvider));
 }
 if (authorizeData == null)
 {
 throw new ArgumentNullException(nameof(authorizeData));
 }
 var policyBuilder = new AuthorizationPolicyBuilder();
 var any = false;
 foreach (var authorizeDatum in authorizeData)
 {
 any = true;
 var useDefaultPolicy = true;
 if (!string.IsNullOrWhiteSpace(authorizeDatum.Policy))
 {
 var policy = await policyProvider.GetPolicyAsync(authorizeDatum.Policy);
 if (policy == null)
 {
 //throw new InvalidOperationException(Resources.FormatException_AuthorizationPolicyNotFound(authorizeDatum.Policy));
 throw new InvalidOperationException(nameof(authorizeDatum.Policy));
 }
policyBuilder.Combine(policy);
 useDefaultPolicy = false;
 }
 var rolesSplit = authorizeDatum.Roles?.Split(',');
 if (rolesSplit != null && rolesSplit.Any())
 {
 var trimmedRolesSplit = rolesSplit.Where(r => !string.IsNullOrWhiteSpace(r)).Select(r => r.Trim());
 policyBuilder.RequireRole(trimmedRolesSplit);
 useDefaultPolicy = false;
 }
 if(authorizeDatum is IPermissionAuthorizeData permissionAuthorizeDatum )
 {
 var groupsSplit = permissionAuthorizeDatum.Groups?.Split(',');
 if (groupsSplit != null && groupsSplit.Any())
 {
 var trimmedGroupsSplit = groupsSplit.Where(r => !string.IsNullOrWhiteSpace(r)).Select(r => r.Trim());
 policyBuilder.RequireClaim("Group", trimmedGroupsSplit); // TODO: 注意硬編碼
 useDefaultPolicy = false;
 }
 var permissionsSplit = permissionAuthorizeDatum.Permissions?.Split(',');
 if (permissionsSplit != null && permissionsSplit.Any())
 {
 var trimmedPermissionsSplit = permissionsSplit.Where(r => !string.IsNullOrWhiteSpace(r)).Select(r => r.Trim());
 policyBuilder.RequireClaim("Permission", trimmedPermissionsSplit);// TODO: 注意硬編碼
 useDefaultPolicy = false;
 }
 }
 var authTypesSplit = authorizeDatum.AuthenticationSchemes?.Split(',');
 if (authTypesSplit != null && authTypesSplit.Any())
 {
 foreach (var authType in authTypesSplit)
 {
 if (!string.IsNullOrWhiteSpace(authType))
 {
 policyBuilder.AuthenticationSchemes.Add(authType.Trim());
 }
 }
 }
 if (useDefaultPolicy)
 {
policyBuilder.Combine(await policyProvider.GetDefaultPolicyAsync());
 }
 }
 return any ? policyBuilder.Build() : null;
 }

if(authorizeDatum is IPermissionAuthorizeData permissionAuthorizeDatum ) 為擴充套件部分。

四、Startup

註冊 PermissionAuthorizationApplicationModelProvider 服務,需要在 AddMvc 之後替換掉 AuthorizationApplicationModelProvider 服務。

1
2
 
services.AddMvc();
services.Replac(ServiceDescriptor.Transient<IApplicationModelProvider,PermissionAuthorizationApplicationModelProvider>());

五、Jwt 示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
 
[Route("api/[controller]")]
[ApiController]
public class ValuesController : ControllerBase
{
    private readonly JwtSecurityTokenHandler _tokenHandler = new JwtSecurityTokenHandler();
 [HttpGet]
 [Route("SignIn")]
 public async Task<ActionResult<string>> SignIn()
 {
 var user = new ClaimsPrincipal(new ClaimsIdentity(new[]
 {
 // 備註:Claim Type: Group 和 Permission 這裡使用的是硬編碼,應該定義為類似於 ClaimTypes.Role 的常量;另外,下列模擬資料不一定合邏輯。
 new Claim(ClaimTypes.Name, "Bob"),
 new Claim(ClaimTypes.Role, "經理"), // 注意:不能使用逗號分隔來達到多個角色的目的,下同。
 new Claim(ClaimTypes.Role, "副經理"),
 new Claim("Group", "研發部"),
 new Claim("Group", "生產部"),
 new Claim("Permission", "請假審批"),
 new Claim("Permission", "許可權1"),
 new Claim("Permission", "許可權2"),
 }, JwtBearerDefaults.AuthenticationScheme));
 var token = new JwtSecurityToken(
 "SignalRAuthenticationSample",
 "SignalRAuthenticationSample",
 user.Claims,
 expires: DateTime.UtcNow.AddDays(30),
 signingCredentials: SignatureHelper.GenerateSigningCredentials("1234567890123456"));
 return _tokenHandler.WriteToken(token);
 }
 [HttpGet]
 [Route("Test")]
 [PermissionAuthorize(Groups = "研發部,生產部", Roles = "經理", Permissions = "請假審批"] // 研發部經理或生成部經理,並且有請假審批的許可權。Groups 、Roles 和 Permission 是 `And` 的關係。
 public async Task<ActionResult<IEnumerable<string>>> Test()
 {
 var user = HttpContext.User;
 return new string[] { "value1", "value2" };
 }
 }

六、問題

AuthorizeFilter 類顯示實現了 IFilterFactory 介面的 CreateInstance 方法:

1
2
3
4
5
6
7
8
9
10
11
12
 
IFilterMetadata IFilterFactory.CreateInstance(IServiceProvider serviceProvider)
{
    if (Policy != null || PolicyProvider != null)
    {
        // The filter is fully constructed. Use the current instance to authorize.
 return this;
 }

 Debug.Assert(AuthorizeData != null);
 var policyProvider = serviceProvider.GetRequiredService<IAuthorizationPolicyProvider>();
 return AuthorizationApplicationModelProvider.GetFilter(policyProvider, AuthorizeData);
}

竟然對 AuthorizationApplicationModelProvider.GetFilter 靜態方法產生了依賴。慶幸的是,如果通過 AuthorizeFilter(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authorizeData) 或 AuthorizeFilter(AuthorizationPolicy policy) 建立 AuthorizeFilter 物件不會產生什麼不良影響。

七、下一步

[PermissionAuthorize(Groups = "研發部,生產部", Roles = "經理", Permissions = "請假審批"] 這種形式還是不夠靈活,哪怕用多個 Attribute, And 和 Or 的邏輯組合不一定能滿足需求。可以在 IPermissionAuthorizeData 新增一個 Rule 屬性,實現類似的效果:

1
 
[PermissionAuthorize(Rule = "(Groups:研發部,生產部)&&(Roles:請假審批||Permissions:超級許可權)"]

通過 Rule 計算複雜的授權。

八、如果通過自定義 IAuthorizationPolicyProvider 實現?

另一種方式是自定義 IAuthorizationPolicyProvider ,不過還需要自定義 AuthorizeFilter。因為當不是使用 DefaultAuthorizationPolicyProvider 而是自定義 IAuthorizationPolicyProvider 時,AuthorizationApplicationModelProvider(或前文定義的 PermissionAuthorizationApplicationModelProvider)會使用 AuthorizeFilter(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authorizeData) 建立 AuthorizeFilter 物件,而不是 AuthorizeFilter(AuthorizationPolicy policy)。這會造成 AuthorizeFilter 物件在 OnAuthorizationAsync 時會間接呼叫 AuthorizationPolicy.CombineAsync 靜態方法。

這可以說是一個設計上的缺陷,不應該讓 AuthorizationPolicy.CombineAsync 靜態方法存在,哪怕提供個 IAuthorizationPolicyCombiner 也好。另外,上文提到的 AuthorizationApplicationModelProvider.GetFilter 靜態方法同樣不是一種好的設計。等微軟想通吧。

參考資料

https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/iauthorizationpolicyprovider?view=aspnetcore-2.1

 

排版問題:http://blog.tubumu.com/2018/11/28/aspnetcore-mvc-extend-authorization/

相關推薦

ASP.NET Core MVC 授權擴充套件定義 Authorize Attribute IApplicationModelProvide

一、概述 ASP.NET Core MVC 提供了基於角色( Role )、宣告( Chaim ) 和策略 ( Policy ) 等的授權方式。在實際應用中,可能採用部門( Department ,

ASP.NET Core MVC 授權的擴展定義 Authorize Attribute IApplicationModelProvide

and rabl resource 而是 async expire des nat 使用 一、概述 ASP.NET Core MVC 提供了基於角色( Role )、聲明( Chaim ) 和策略 ( Policy ) 等的授權方式。在實際應用中,可能采用部門(

ASP.NET面向角色授權定義Forms使用者驗證與授權

流程 一、配置config n  基本內容 <configuration> <system.web> <authenticationmode="Forms"> <formsname=".WroxDemo" loginUrl="l

asp.net core mvc許可權控制在檢視中控制操作許可權

public override void Process(TagHelperContext context, TagHelperOutput output)         {             if (string.IsNullOrEmpty(Claim))             {        

ASP.NET Core MVC 原始碼學習詳解 Action 的匹配

前言 在 上一篇 文章中,我們已經學習了 ASP.NET Core MVC 的啟動流程,那麼 MVC 在啟動了之後,當請求到達過來的時候,它是怎麼樣處理的呢? 又是怎麼樣把我們的請求準確的傳達到我們的 Action 上呢? 那麼,在這邊文章中,我們一起跟蹤原始碼看一下

跨域請求asp.net core webapi 介面,返回定義header

這個簡單的問題對於初學core的我來說還是折騰了好久,然後加了一個群問了一下,終於解決了,感謝大神的指點; 官方api: 總結:閱讀官方的api文件很重要啊,慚愧啊; 然後以此備忘吧。 我在header裡面返回自定義引數count,startup.cs配置如下:

asp.net core mvc視頻A筆記4.高級數據綁定

前端 ade .net .net core 高級 指定 測試 如果 視頻 默認的綁定順序,如果需要取指定數據源裏的數據,需要通過屬性控制,比如[FromQuery] 前端 控制器方法 前端 此時並不能得到head中的數據 改造控制器方

ASP.NET Core MVC 直接執行報錯物件不支援“addEventListener”屬性或方法

場景:第一次建立了ASP.NET Core MVC專案,我們知道,什麼都不動,就可以執行的,出來的是Core2.0的頁面,類似於.NetFramework建立MVC一樣,就在此時,如果你的預設的調式瀏覽

asp.net core mvc剖析KestrelServer

KestrelServer是基於Libuv開發的高效能web伺服器,那我們現在就來看一下它是如何工作的。在上一篇文章中提到了Program的Main方法,在這個方法裡Build了一個WebHost,我們再來看一下程式碼: public static void Main(s

asp.net core mvc剖析mvc動作選擇

一個http請求過來後,首先經過路由規則的匹配,找到最符合條件的的IRouter,然後呼叫IRouter.RouteAsync來設定RouteContext.Handler,最後把請求交給RouteContext.Handler來處理。在MVC中提供了兩個IRouter實現

ASP.NET Core MVC通過IViewLocationExpander擴充套件檢視搜尋路徑

**IViewLocationExpander API** - ExpandViewLocations Razor檢視路徑,檢視引擎會搜尋該路徑. - PopulateValues 每次呼叫都會填充路由 專案目錄如下所示 ![](https://imgkr.cn-bj.ufileos.com/432c

ASP.NET Core MVC中構建簡單 Web Api

程序 Getting Started在 ASP.NET Core MVC 框架中,ASP.NET 團隊為我們提供了一整套的用於構建一個 Web 中的各種部分所需的套件,那麽有些時候我們只需要做一個簡單的 Web Api 程序怎麽辦呢?在 GitHub 中的 ASP.NET Core MVC 源碼裏面,我

Asp.Net Core MVC控制器視圖之間傳值

view 指定 mode 設置 http adg nbsp urn 傳值方式 一、Core MVC中控制器和視圖之間傳值方式和Asp.Net中非常類似 1.弱類型數據:ViewData,ViewBag 2.強類型數據:@model 二、代碼 實例 1.ViewData

asp.net core策略授權

認證 自定策略 授權 在《asp.net core認證與授權》中講解了固定和自定義角色授權系統權限,其實我們還可以通過其他方式來授權,比如可以通過角色組,用戶名,生日等,但這些主要取決於ClaimTypes,其實我們也可以自定義鍵值來授權,這些統一叫策略授權,其中更強大的是,我們可以自定義授權Ha

asp.net core mvc 異步表單(Ajax.BeginForm)

form bower style ajax upd back query script asp .net core中已經沒有beginform擴展函數了. 通過Bower引入jquery-ajax-unobtrusive: <script src="~/lib/j

asp.net Core MVC + form validation + ajax form 筆記

for ade name git mvc scrip 答案 oval ora asp.net Core MVC 有特別處理form,controller可以自己處理model的驗證,最大的優勢是寫form時可以少寫代碼 先了解tag helper ,這東西就是element

asp.net Core MVC + webpack 筆記

jquer 筆記 section ima shtml strong 開發 onf images webpack 是一個打包工具,用在asp.net Core MVC 會覺得有必要嗎? MVC 本身就有bundler~ 如果用過webpack就會知道,打包出來的效果結果就是不

ASP.NET Core】準備工作在 Windows 10 上配置 Linux 子系統

字符 登錄 界面 div 輸出 ace .... 配置服務 主機 ASP.NET Core 其實比傳統的 ASP.NET 要簡單很多,而且也靈活很多,並且可以跨平臺獨立運行。 在 Windows 平臺上,我們只要在安裝 Visual Studio 的時候選擇跨平臺的 .N

ASP.Net Core MVC 網站在Windows服務器跑步起來

tin 2.0.8 ack ica 圖片 排查 所有 comm cal 1.vs遠程發布到服務器,瀏覽器訪問,報錯502 2.打開錯誤提示提供的網址參考 3.安裝runtime,sdk,Hosting Bundle Installer,其他操作 .....發現並沒有什麽用(

ASP.NET Core MVC EF Core 構建Web應用 (二)

work nal nta 多個 包括 catch web 應用 自動 選項卡 本節學習如何執行基本的 CRUD (創建、 讀取、 更新、 刪除) 操作。 自定義“詳細信息”頁 學生索引頁的基架代碼省略了 Enrollments 屬性,因為該屬性包含一個集合。 在“詳細信息”