日本免费高清视频-国产福利视频导航-黄色在线播放国产-天天操天天操天天操天天操|www.shdianci.com

學無先后,達者為師

網站首頁 編程語言 正文

ASP.NET?Core中的策略授權和ABP授權_實用技巧

作者:癡者工良 ? 更新時間: 2022-04-27 編程語言

ASP.NET Core 中的策略授權

首先我們來創建一個 WebAPI 應用。

然后引入?Microsoft.AspNetCore.Authentication.JwtBearer?包。

策略

Startup 類的 ConfigureServices 方法中,添加一個策略的形式如下:

    services.AddAuthorization(options =>
    {
        options.AddPolicy("AtLeast21", policy =>
            policy.Requirements.Add(new MinimumAgeRequirement(21)));
    });

這里我們分步來說。

services.AddAuthorization 用于添加授權方式,目前只支持 AddPolicy。

ASP.NET Core 中,有基于角色、聲明、策略的三種授權形式,都是使用?AddPolicy?來添加授權處理。

其中,有兩個 API 如下:

        public void AddPolicy(string name, AuthorizationPolicy policy);
        public void AddPolicy(string name, Action configurePolicy);

name = "AtLeast21",這里 "AtLeast21" 是策略的名稱。

policy.Requirements.Add()?用于添加一個策略的標記(存儲此策略的數據),此標記需要繼承?IAuthorizationRequirement?接口。

策略的名稱應該如何設置呢?在授權上應該如何編寫策略以及使用?Requirements.Add()

這里先放一放,我們接下來再講解。

定義一個 Controller

我們來添加一個 Controller :

    [ApiController]
    [Route("[controller]")]
    public class BookController : ControllerBase
    {
        private static List BookContent = new List();
        [HttpGet("Add")]
        public string AddContent(string body)
        {
            BookContent.Add(body);
            return "success";
        }

        [HttpGet("Remove")]
        public string RemoveContent(int n)
        {
            BookContent.Remove(BookContent[n]);
            return "success";
        }

        [HttpGet("Select")]
        public List SelectContent()
        {
            List obj = new List();
            int i = 0;
            foreach (var item in BookContent)
            {
                int tmp = i;
                i++;
                obj.Add(new { Num = tmp, Body = item });
            }
            return obj;
        }

        [HttpGet("Update")]
        public string UpdateContent(int n, string body)
        {
            BookContent[n] = body;
            return "success";
        }
    }

功能很簡單,就是對列表內容增刪查改。




設定權限


前面我們創建了?BookController?,具有增刪查改的功能。應該為每一個功能都應該設置一種權限。


ASP.NET Core 中,一個權限標記,需要繼承IAuthorizationRequirement?接口。


我們來設置五個權限:


添加一個文件,填寫以下代碼。


    /*
     IAuthorizationRequirement 是一個空接口,具體對于授權的需求,其屬性等信息是自定義的
     這里的繼承關系也沒有任何意義
     */

    // 能夠訪問 Book 的權限
    public class BookRequirment : IAuthorizationRequirement
    {
    }

    // 增刪查改 Book 權限
    // 可以繼承 IAuthorizationRequirement ,也可以繼承 BookRequirment
    public class BookAddRequirment : BookRequirment
    {
    }
    public class BookRemoveRequirment : BookRequirment
    {
    }
    public class BookSelectRequirment : BookRequirment
    {
    }
    public class BookUpdateRequirment : BookRequirment
    {
    }


BookRequirment 代表能夠訪問 BookController,其它四個分別代表增刪查改的權限。




定義策略


權限設定后,我們開始設置策略。


在 Startup 的?ConfigureServices?中,添加:


            services.AddAuthorization(options =>
            {
                options.AddPolicy("Book", policy =>
                {
                    policy.Requirements.Add(new BookRequirment());
                });

                options.AddPolicy("Book:Add", policy =>
                {
                    policy.Requirements.Add(new BookAddRequirment());
                });

                options.AddPolicy("Book:Remove", policy =>
                {
                    policy.Requirements.Add(new BookRemoveRequirment());
                });

                options.AddPolicy("Book:Select", policy =>
                {
                    policy.Requirements.Add(new BookSelectRequirment());
                });

                options.AddPolicy("Book:Update", policy =>
                {
                    policy.Requirements.Add(new BookUpdateRequirment());
                });

            });


這里我們為每種策略只設置一種權限,當然每種策略都可以添加多個權限,


這里名稱使用?:?隔開,主要是為了可讀性,讓人一看就知道是層次關系。




存儲用戶信息


這里為了更加簡單,就不使用數據庫了。


以下用戶信息結構是隨便寫的。用戶-角色-角色具有的權限。


這個權限用什么類型存儲都可以。只要能夠標識區分是哪個權限就行。


    /// 
    /// 存儲用戶信息
    /// 
    public static class UsersData
    {
        public static readonly List Users = new List();
        static UsersData()
        {
            // 添加一個管理員
            Users.Add(new User
            {
                Name = "admin",
                Email = "admin@admin.com",
                Role = new Role
                {
                    Requirements = new List
                    {
                        typeof( BookRequirment),
                        typeof( BookAddRequirment),
                        typeof( BookRemoveRequirment),
                        typeof( BookSelectRequirment),
                        typeof( BookUpdateRequirment)
                    }
                }
            });

            // 沒有刪除權限
            Users.Add(new User
            {
                Name = "作者",
                Email = "wirter",
                Role = new Role
                {
                    Requirements = new List
                    {
                        typeof( BookRequirment),
                        typeof( BookAddRequirment),
                        typeof( BookRemoveRequirment),
                        typeof( BookSelectRequirment),
                    }
                }
            });
        }
    }

    public class User
    {
        public string Name { get; set; }
        public string Email { get; set; }
        public Role Role { get; set; }
    }

    /// 
    /// 這里的存儲角色的策略授權,字符串數字等都行,只要能夠存儲表示就OK
    /// 在這里沒有任何意義,只是標識的一種方式
    /// 
    public class Role
    {
        public List Requirements { get; set; }
    }




標記訪問權限


定義策略完畢后,就要為 Controller 和 Action 標記訪問權限了。


使用?[Authorize(Policy = "{string}")]?特性和屬性來設置訪問此 Controller 、 Action 所需要的權限。


這里我們分開設置,每個功能標記一種權限(最小粒度應該是一個功能 ,而不是一個 API)。


    [Authorize(Policy = "Book")]
    [ApiController]
    [Route("[controller]")]
    public class BookController : ControllerBase
    {
        private static List BookContent = new List();

        [Authorize(Policy = "Book:Add")]
        [HttpGet("Add")]
        public string AddContent(string body){}

        [Authorize(Policy = "Book:Remove")]
        [HttpGet("Remove")]
        public string RemoveContent(int n){}

        [Authorize(Policy = "Book:Select")]
        [HttpGet("Select")]
        public List SelectContent(){}

        [Authorize(Policy = "Book:Update")]
        [HttpGet("Update")]
        public string UpdateContent(int n, string body){}
    }



認證:Token 憑據


因為使用的是 WebAPI,所以使用 Bearer Token 認證,當然使用 Cookie 等也可以。使用什么認證方式都可以。


            // 設置驗證方式為 Bearer Token
            // 添加 using Microsoft.AspNetCore.Authentication.JwtBearer;
            // 你也可以使用 字符串 "Brearer" 代替 JwtBearerDefaults.AuthenticationScheme
            services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
                .AddJwtBearer(options =>
                {
                    options.TokenValidationParameters = new TokenValidationParameters
                    {
                        ValidateIssuerSigningKey = true,
                        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("abcdABCD1234abcdABCD1234")),    // 加密解密Token的密鑰

                        // 是否驗證發布者
                        ValidateIssuer = true,
                        // 發布者名稱
                        ValidIssuer = "server",

                        // 是否驗證訂閱者
                        // 訂閱者名稱
                        ValidateAudience = true,
                        ValidAudience = "client007",

                        // 是否驗證令牌有效期
                        ValidateLifetime = true,
                        // 每次頒發令牌,令牌有效時間
                        ClockSkew = TimeSpan.FromMinutes(120)
                    };
                });


上面的代碼是一個模板,可以隨便改。這里的認證方式跟我們的策略授權沒什么關系。




頒發登錄憑據


下面這個 Action 放置到 BookController,作為登錄功能。這一部分也不重要,主要是為用戶頒發憑據,以及標識用戶。用戶的 Claim 可以存儲此用戶的唯一標識。


        /// 
        /// 用戶登錄并且頒發憑據
        /// 
        /// 
        /// 
        [AllowAnonymous]
        [HttpGet("Token")]
        public string Token(string name)
        {
            User user = UsersData.Users.FirstOrDefault(x => x.Name.Equals(name, StringComparison.OrdinalIgnoreCase));
            if (user is null)
                return "未找到此用戶";

            // 定義用戶信息
            var claims = new Claim[]
            {
                new Claim(ClaimTypes.Name, name),
                new Claim(JwtRegisteredClaimNames.Email, user.Email)
            };

            // 和 Startup 中的配置一致
            SymmetricSecurityKey key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("abcdABCD1234abcdABCD1234"));

            JwtSecurityToken token = new JwtSecurityToken(
                issuer: "server",
                audience: "client007",
                claims: claims,
                notBefore: DateTime.Now,
                expires: DateTime.Now.AddMinutes(30),
                signingCredentials: new SigningCredentials(key, SecurityAlgorithms.HmacSha256)
            );

            string jwtToken = new JwtSecurityTokenHandler().WriteToken(token);
            return jwtToken;
        }


Configure 中補充以下兩行:


            app.UseAuthentication();
            app.UseAuthorization();




自定義授權


自定義授權需要繼承?IAuthorizationHandler?接口,實現此接口的類能夠決定是否對用戶的訪問進行授權。


實現代碼如下:


    /// 
    /// 判斷用戶是否具有權限
    /// 
    public class PermissionHandler : IAuthorizationHandler
    {
        public async Task HandleAsync(AuthorizationHandlerContext context)
        {
            // 當前訪問 Controller/Action 所需要的權限(策略授權)
            IAuthorizationRequirement[] pendingRequirements = context.PendingRequirements.ToArray();

            // 取出用戶信息
            IEnumerable claims = context.User?.Claims;

            // 未登錄或者取不到用戶信息
            if (claims is null)
            {
                context.Fail();
                return;
            }


            // 取出用戶名
            Claim userName = claims.FirstOrDefault(x => x.Type == ClaimTypes.Name);
            if (userName is null)
            {
                context.Fail();
                return;
            }
            // ... 省略一些檢驗過程 ...

            // 獲取此用戶的信息
            User user = UsersData.Users.FirstOrDefault(x => x.Name.Equals(userName.Value, StringComparison.OrdinalIgnoreCase));
            List auths = user.Role.Requirements;

            // 逐個檢查
            foreach (IAuthorizationRequirement requirement in pendingRequirements)
            {
                // 如果用戶權限列表中沒有找到此權限的話
                if (!auths.Any(x => x == requirement.GetType()))
                    context.Fail();

                context.Succeed(requirement);
            }

            await Task.CompletedTask;
        }
    }


過程:


    

  • 從上下文(Context) 中獲取用戶信息(context.User)
    • 

  • 獲取此用戶所屬的角色,并獲取此角色具有的權限
    • 

  • 獲取此次請求的 Controller/Action 需要的權限(context.PendingRequirements)
    • 

  • 檢查所需要的權限(foreach循環),此用戶是否都具有
    • 



最后需要將此接口、服務,注冊到容器中:


services.AddSingleton();


做完這些后,就可以測試授權了。




IAuthorizationService


前面實現了 IAuthorizationHandler 接口的類,用于自定義確定用戶是否有權訪問此 Controller/Action。


IAuthorizationService 接口用于確定授權是否成功,其定義如下:


public interface IAuthorizationService
    {
        Task AuthorizeAsync(ClaimsPrincipal user, object? resource, IEnumerable requirements);

        Task AuthorizeAsync(ClaimsPrincipal user, object? resource, string policyName);
    }


DefaultAuthorizationService?接口實現了?IAuthorizationService?,ASP.NET Core 默認使用?DefaultAuthorizationService?來確認授權。


前面我們使用?IAuthorizationHandler?接口來自定義授權,如果再深入一層的話,就追溯到了IAuthorizationService


DefaultAuthorizationService?是?IAuthorizationService?的默認實現,其中有一段代碼如下:




DefaultAuthorizationService?比較復雜,一般情況下,我們只要實現?IAuthorizationHandler?就夠了。


參考資料:https://docs.microsoft.com/zh-cn/dotnet/api/microsoft.aspnetcore.authorization.defaultauthorizationservice?view=aspnetcore-3.1




ABP 授權


前面已經介紹了 ASP.NET Core 中的策略授權,這里介紹一下 ABP 中的授權,我們繼續利用前面已經實現的 ASP.NET Core 代碼。




創建 ABP 應用


Nuget 安裝?Volo.Abp.AspNetCore.MvcVolo.Abp.Autofac?。


創建?AppModule?類,代碼如下:


    [DependsOn(typeof(AbpAspNetCoreMvcModule))]
    [DependsOn(typeof(AbpAutofacModule))]
    public class AppModule : AbpModule
    {
        public override void OnApplicationInitialization(
            ApplicationInitializationContext context)
        {
            var app = context.GetApplicationBuilder();
            var env = context.GetEnvironment();

            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            else
            {
                app.UseExceptionHandler("/Error");
            }

            app.UseStaticFiles();
            app.UseRouting();
            app.UseConfiguredEndpoints();
        }
    }


在 Program 的 Host 加上?.UseServiceProviderFactory(new AutofacServiceProviderFactory()),示例如下:


        public static IHostBuilder CreateHostBuilder(string[] args) =>
            Host.CreateDefaultBuilder(args)
            .UseServiceProviderFactory(new AutofacServiceProviderFactory())
            ...
            ...


然后在 Startup 中的?ConfiguraServices?方法中,添加 ABP 模塊, 并且設置使用 Autofac。


        public void ConfigureServices(IServiceCollection services)
        {
            services.AddApplication(options=>
            {
                options.UseAutofac();
            });
        }




定義權限


ABP 中使用?PermissionDefinitionProvider?類來定義權限,創建一個類,其代碼如下:


    public class BookPermissionDefinitionProvider : PermissionDefinitionProvider
    {
        public override void Define(IPermissionDefinitionContext context)
        {
            var myGroup = context.AddGroup("Book");
            var permission = myGroup.AddPermission("Book");
            permission.AddChild("Book:Add");
            permission.AddChild("Book:Remove");
            permission.AddChild("Book:Select");
            permission.AddChild("Book:Update");
        }
    }


這里定義了一個組?Book,定義了一個權限?Book了,Book?其下有四個子權限。


刪除 Startup 中的services.AddAuthorization(options =>...?。


將剩余的依賴注入服務代碼移動到 AppModule 的?ConfigureServices?中。


Startup 的 Configure 改成:


            app.InitializeApplication();


AbpModule 中的?Configure?改成:


            var app = context.GetApplicationBuilder();
            var env = context.GetEnvironment();

            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            else
            {
                app.UseExceptionHandler("/Error");
            }

            app.UseStaticFiles();
            app.UseRouting();

            app.UseAuthentication();
            app.UseAuthorization();

            app.UseConfiguredEndpoints();


PermissionHandler 需要改成:


    public class PermissionHandler : IAuthorizationHandler
    {
        public Task HandleAsync(AuthorizationHandlerContext context)
        {
            // 當前訪問 Controller/Action 所需要的權限(策略授權)
            IAuthorizationRequirement[] pendingRequirements = context.PendingRequirements.ToArray();

            // 逐個檢查
            foreach (IAuthorizationRequirement requirement in pendingRequirements)
            {
                context.Succeed(requirement);
            }


            return Task.CompletedTask;
        }
    }


刪除 UserData 文件;BookController 需要修改一下登錄和憑證。

    
        
原文鏈接:https://www.cnblogs.com/whuanle/p/13289942.html