ASP.NET Core MVC 授权的扩展:自定义 Authorize Attribute 和 IApplicationModelProvide

一、概述

ASP.NET Core MVC 提供了基于角色( Role )、声明( Chaim ) 和策略 ( Policy ) 等的授权方式。在实际应用中,可能采用部门( Department , 本文采用用户组 Group )、职位 ( 可继续沿用 Role )、权限( Permission )的方式进行授权。要达到这个目的,仅仅通过自定义 IAuthorizationPolicyProvider 是不行的。本文通过自定义 IApplicationModelProvide 进行扩展。

二、PermissionAuthorizeAttribute : IPermissionAuthorizeData

AuthorizeAttribute 类实现了 IAuthorizeData 接口:

123456789101112131415161718192021
namespace Microsoft.AspNetCore.Authorization{  /// <summary>  /// Defines the set of data required to apply authorization rules to a resource.  /// </summary>  public interface IAuthorizeData  {   /// <summary>   /// Gets or sets the policy name that determines access to the resource.   /// </summary>   string Policy { get; set; }   /// <summary>   /// Gets or sets a comma delimited list of roles that are allowed to access the resource.   /// </summary>   string Roles { get; set; }   /// <summary>   /// Gets or sets a comma delimited list of schemes from which user information is constructed.   /// </summary>   string AuthenticationSchemes { get; set; }  }}

使用 AuthorizeAttribute 不外乎如下几种形式:

1234
[Authorize][Authorize("SomePolicy")][Authorize(Roles = "角色1,角色2")][Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]

当然,参数还可以组合起来。另外,Roles 和 AuthenticationSchemes 的值以半角逗号分隔,是 Or 的关系;多个 Authorize 是 And 的关系;Policy 、Roles 和 AuthenticationSchemes 如果同时使用,也是 And 的关系。

如果要扩展 AuthorizeAttribute,先扩展 IAuthorizeData 增加新的属性:

12345
public interface IPermissionAuthorizeData : IAuthorizeData{    string Groups { get; set; }    string Permissions { get; set; }}

然后定义 AuthorizeAttribute:

123456789
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]public class PermissionAuthorizeAttribute : Attribute, IPermissionAuthorizeData{    public string Policy { get; set; }    public string Roles { get; set; }    public string AuthenticationSchemes { get; set; }    public string Groups { get; set; }    public string Permissions { get; set; }}

现在,在 Controller 或 Action 上就可以这样使用了:

123
[PermissionAuthorize(Roles = "经理,副经理")] // 经理或部门经理[PermissionAuthorize(Groups = "研发部,生产部", Roles = "经理"] // 研发部经理或生成部经理。Groups 和 Roles 是 `And` 的关系。[PermissionAuthorize(Groups = "研发部,生产部", Roles = "经理", Permissions = "请假审批"] // 研发部经理或生成部经理,并且有请假审批的权限。Groups 、Roles 和 Permission 是 `And` 的关系。

数据已经准备好,下一步就是怎么提取出来。通过扩展 AuthorizationApplicationModelProvider 来实现。

三、PermissionAuthorizationApplicationModelProvider : IApplicationModelProvider

AuthorizationApplicationModelProvider 类的作用是构造 AuthorizeFilter 对象放入 ControllerModel 或 ActionModel 的 Filters 属性中。具体过程是先提取 Controller 和 Action 实现了 IAuthorizeData 接口的 Attribute,如果使用的是默认的DefaultAuthorizationPolicyProvider,则会先创建一个 AuthorizationPolicy 对象作为 AuthorizeFilter 构造函数的参数。
创建 AuthorizationPolicy 对象是由 AuthorizationPolicy 的静态方法 public static async Task<AuthorizationPolicy> CombineAsync(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authorizeData) 来完成的。该静态方法会解析 IAuthorizeData 的数据,但不懂解析 IPermissionAuthorizeData

因为 AuthorizationApplicationModelProvider 类对 AuthorizationPolicy.CombineAsync 静态方法有依赖,这里不得不做一个类似的 PermissionAuthorizationApplicationModelProvider 类,在本类实现 CombineAsync 方法。暂且不论该方法放在本类是否合适的问题。

1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283
       public static AuthorizeFilter GetFilter(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authData)       {           // The default policy provider will make the same policy for given input, so make it only once.           // This will always execute synchronously.           if (policyProvider.GetType() == typeof(DefaultAuthorizationPolicyProvider))           {               var policy = CombineAsync(policyProvider, authData).GetAwaiter().GetResult();               return new AuthorizeFilter(policy);           }           else           {               return new AuthorizeFilter(policyProvider, authData);           }       }       private static async Task<AuthorizationPolicy> CombineAsync(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authorizeData)       {           if (policyProvider == null)           {               throw new ArgumentNullException(nameof(policyProvider));           }           if (authorizeData == null)           {               throw new ArgumentNullException(nameof(authorizeData));           }           var policyBuilder = new AuthorizationPolicyBuilder();           var any = false;           foreach (var authorizeDatum in authorizeData)           {               any = true;               var useDefaultPolicy = true;               if (!string.IsNullOrWhiteSpace(authorizeDatum.Policy))               {                   var policy = await policyProvider.GetPolicyAsync(authorizeDatum.Policy);                   if (policy == null)                   {                       //throw new InvalidOperationException(Resources.FormatException_AuthorizationPolicyNotFound(authorizeDatum.Policy));                       throw new InvalidOperationException(nameof(authorizeDatum.Policy));                   }policyBuilder.Combine(policy);                   useDefaultPolicy = false;               }               var rolesSplit = authorizeDatum.Roles?.Split(‘,‘);               if (rolesSplit != null && rolesSplit.Any())               {                   var trimmedRolesSplit = rolesSplit.Where(r => !string.IsNullOrWhiteSpace(r)).Select(r => r.Trim());                   policyBuilder.RequireRole(trimmedRolesSplit);                   useDefaultPolicy = false;               }               if(authorizeDatum is IPermissionAuthorizeData permissionAuthorizeDatum )               {                   var groupsSplit = permissionAuthorizeDatum.Groups?.Split(‘,‘);                   if (groupsSplit != null && groupsSplit.Any())                   {                       var trimmedGroupsSplit = groupsSplit.Where(r => !string.IsNullOrWhiteSpace(r)).Select(r => r.Trim());                       policyBuilder.RequireClaim("Group", trimmedGroupsSplit); // TODO: 注意硬编码                       useDefaultPolicy = false;                   }                   var permissionsSplit = permissionAuthorizeDatum.Permissions?.Split(‘,‘);                   if (permissionsSplit != null && permissionsSplit.Any())                   {                       var trimmedPermissionsSplit = permissionsSplit.Where(r => !string.IsNullOrWhiteSpace(r)).Select(r => r.Trim());                       policyBuilder.RequireClaim("Permission", trimmedPermissionsSplit);// TODO: 注意硬编码                       useDefaultPolicy = false;                   }               }               var authTypesSplit = authorizeDatum.AuthenticationSchemes?.Split(‘,‘);               if (authTypesSplit != null && authTypesSplit.Any())               {                   foreach (var authType in authTypesSplit)                   {                       if (!string.IsNullOrWhiteSpace(authType))                       {                           policyBuilder.AuthenticationSchemes.Add(authType.Trim());                       }                   }               }               if (useDefaultPolicy)               {policyBuilder.Combine(await policyProvider.GetDefaultPolicyAsync());               }           }           return any ? policyBuilder.Build() : null;       }

if(authorizeDatum is IPermissionAuthorizeData permissionAuthorizeDatum ) 为扩展部分。

四、Startup

注册 PermissionAuthorizationApplicationModelProvider 服务,需要在 AddMvc 之后替换掉 AuthorizationApplicationModelProvider 服务。

12
services.AddMvc();services.Replac(ServiceDescriptor.Transient<IApplicationModelProvider,PermissionAuthorizationApplicationModelProvider>());

五、Jwt 示例

1234567891011121314151617181920212223242526272829303132333435363738
[Route("api/[controller]")][ApiController]public class ValuesController : ControllerBase{    private readonly JwtSecurityTokenHandler _tokenHandler = new JwtSecurityTokenHandler();    [HttpGet]    [Route("SignIn")]    public async Task<ActionResult<string>> SignIn()    {        var user = new ClaimsPrincipal(new ClaimsIdentity(new[]        {            // 备注:Claim Type: Group 和 Permission 这里使用的是硬编码,应该定义为类似于 ClaimTypes.Role 的常量;另外,下列模拟数据不一定合逻辑。            new Claim(ClaimTypes.Name, "Bob"),            new Claim(ClaimTypes.Role, "经理"),  // 注意:不能使用逗号分隔来达到多个角色的目的,下同。            new Claim(ClaimTypes.Role, "副经理"),            new Claim("Group", "研发部"),            new Claim("Group", "生产部"),            new Claim("Permission", "请假审批"),            new Claim("Permission", "权限1"),            new Claim("Permission", "权限2"),        }, JwtBearerDefaults.AuthenticationScheme));        var token = new JwtSecurityToken(            "SignalRAuthenticationSample",            "SignalRAuthenticationSample",            user.Claims,            expires: DateTime.UtcNow.AddDays(30),            signingCredentials: SignatureHelper.GenerateSigningCredentials("1234567890123456"));        return _tokenHandler.WriteToken(token);    }    [HttpGet]    [Route("Test")]    [PermissionAuthorize(Groups = "研发部,生产部", Roles = "经理", Permissions = "请假审批"] // 研发部经理或生成部经理,并且有请假审批的权限。Groups 、Roles 和 Permission 是 `And` 的关系。    public async Task<ActionResult<IEnumerable<string>>> Test()    {        var user = HttpContext.User;        return new string[] { "value1", "value2" };    } }

六、问题

AuthorizeFilter 类显示实现了 IFilterFactory 接口的 CreateInstance 方法:

123456789101112
IFilterMetadata IFilterFactory.CreateInstance(IServiceProvider serviceProvider){    if (Policy != null || PolicyProvider != null)    {        // The filter is fully constructed. Use the current instance to authorize.        return this;    }

    Debug.Assert(AuthorizeData != null);    var policyProvider = serviceProvider.GetRequiredService<IAuthorizationPolicyProvider>();    return AuthorizationApplicationModelProvider.GetFilter(policyProvider, AuthorizeData);}

竟然对 AuthorizationApplicationModelProvider.GetFilter 静态方法产生了依赖。庆幸的是,如果通过 AuthorizeFilter(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authorizeData) 或 AuthorizeFilter(AuthorizationPolicy policy) 创建 AuthorizeFilter 对象不会产生什么不良影响。

七、下一步

[PermissionAuthorize(Groups = "研发部,生产部", Roles = "经理", Permissions = "请假审批"] 这种形式还是不够灵活,哪怕用多个 Attribute, And 和 Or 的逻辑组合不一定能满足需求。可以在 IPermissionAuthorizeData 新增一个 Rule 属性,实现类似的效果:

1
[PermissionAuthorize(Rule = "(Groups:研发部,生产部)&&(Roles:请假审批||Permissions:超级权限)"]

通过 Rule 计算复杂的授权。

八、如果通过自定义 IAuthorizationPolicyProvider 实现?

另一种方式是自定义 IAuthorizationPolicyProvider ,不过还需要自定义 AuthorizeFilter。因为当不是使用 DefaultAuthorizationPolicyProvider 而是自定义 IAuthorizationPolicyProvider 时,AuthorizationApplicationModelProvider(或前文定义的 PermissionAuthorizationApplicationModelProvider)会使用 AuthorizeFilter(IAuthorizationPolicyProvider policyProvider, IEnumerable<IAuthorizeData> authorizeData) 创建 AuthorizeFilter 对象,而不是 AuthorizeFilter(AuthorizationPolicy policy)。这会造成 AuthorizeFilter 对象在 OnAuthorizationAsync 时会间接调用 AuthorizationPolicy.CombineAsync 静态方法。

这可以说是一个设计上的缺陷,不应该让 AuthorizationPolicy.CombineAsync 静态方法存在,哪怕提供个 IAuthorizationPolicyCombiner 也好。另外,上文提到的 AuthorizationApplicationModelProvider.GetFilter 静态方法同样不是一种好的设计。等微软想通吧。

参考资料

https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/iauthorizationpolicyprovider?view=aspnetcore-2.1

排版问题:http://blog.tubumu.com/2018/11/28/aspnetcore-mvc-extend-authorization/

原文地址:https://www.cnblogs.com/alby/p/10035813.html

时间: 2024-10-04 22:54:31

ASP.NET Core MVC 授权的扩展:自定义 Authorize Attribute 和 IApplicationModelProvide的相关文章

ASP.NET Core MVC通过IViewLocationExpander扩展视图搜索路径

原文:ASP.NET Core MVC通过IViewLocationExpander扩展视图搜索路径 IViewLocationExpander API ExpandViewLocations Razor视图路径,视图引擎会搜索该路径. PopulateValues 每次调用都会填充路由 项目目录如下所示 创建区域扩展器,其实我并不需要多区域,我目前只需要达到一个区域中有多个文件夹进行存放我的视图. 所以我通过实现IViewLocationExpander进行扩展添加我自定义视图路径规则即可正如

ASP.NET Core MVC之Serilog日志处理,你了解多少?

前言 本节我们来看看ASP.NET Core MVC中比较常用的功能,对于导入和导出目前仍在探索中,项目需要自定义列合并,所以事先探索了如何在ASP.NET Core MVC进行导入.导出,更高级的内容还需等我学习再给出. EntityFramework Core 在学习ASP.NET Core MVC之前我们来看看在EF Core中如何更新对象指定属性,这个问题之前我们已经探讨过,但是还是存在一点问题,请往下看. public void Update(T entity, params Expr

Pro ASP.NET Core MVC 6th 第三章

第三章 MVC 模式,项目和约定 在深入了解ASP.NET Core MVC的细节之前,我想确保您熟悉MVC设计模式背后的思路以及将其转换为ASP.NET Core MVC项目的方式. 您可能已经了解本章中讨论的一些想法和约定,特别是如果您已经完成了高级ASP.NET或C#开发. 如果没有,我鼓励你仔细阅读 - 深入地理解隐藏在MVC背后的东西可以帮助你在通读本书时更好地与MVC框架的功能联系起来. MVC的历史 模型视图控制器模式起源于20世纪70年代后期,来自施乐PARC的Smalltalk

Pro ASP.NET Core MVC 第6版 第二章(后半章)

增加动态输出 整个web应用平台的关注点在于构建并显示动态输出内容.在MVC里,控制器负责构建一些数据并将其传给视图.视图负责渲染成HTML. 从控制器向视图传递数据的一种方式是使用ViewBag 对象,它是一个控制器基类的成员.ViewBag是一个动态对象,你可以给他赋值任意属性给视图来渲染用.代码2-5 演示了如何在HomeController里传递简单对象. Listing 2-5. 设置视图数据 using System; using Microsoft.AspNetCore.Mvc;

Pro ASP.NET Core MVC 第6版 第一章

第一章 ASP.NET Core MVC 的前世今生 ASP.NET Core MVC 是一个微软公司开发的Web应用程序开发框架,它结合了MVC架构的高效性和简洁性,敏捷开发的思想和技术,和.NET 平台的最好的部分.在本章,我们将学习为什么微软创建ASP.NET Core MVC, 看看他和他的前辈的比较以及和其他类似框架的比较,最后,大概讲一下ASP.NET core MVC里面有什么新东西,还有本书中包括哪些内容. 了解ASP.NET Core MVC的历史 最开始的ASP.NET 诞生

ASP.NET Core MVC/WebAPi如何构建路由?

前言 本节我们来讲讲ASP.NET Core中的路由,在讲路由之前我们首先回顾下之前所讲在ASP.NET Core中的模型绑定这其中有一个问题是我在项目当中遇见的,我们下面首先来看看这个问题. 回顾ASP.NET Core模型绑定 我们有这样一个场景:修改个人资料中的各个属性,此时每个属性的值的类型肯定是不一样的,所以我们将值定义为object,如下model. public class BlogViewModel { public string prop { get; set; } publi

ASP.NET Core Mvc中空返回值的处理方式

原文地址:https://www.strathweb.com/2018/10/convert-null-valued-results-to-404-in-asp-net-core-mvc/ 作者: Filip W. 译者: Lamond Lu .NET Core MVC在如何返回操作结果方面非常灵活的. 你可以返回一个实现IActionResult接口的对象, 比如我们熟知的ViewResult, FileResult, ContentResult等. [HttpGet] public IAct

ASP.NET Core MVC 视图

ASP.NET Core MVC中视图的知识和ASP.NET MVC有很多相似之处,学习难度较低.以下内容主要体现了编程中模块化的思想,模块化才应是我们关注的重点. Layout 布局用于提供各个页面所需的公共部分,如:菜单.页头.页尾等.在ASP.NET Core中默认的布局文件是位于/Views/Shared文件夹下的_Layout.cshtml文件: 我们通常在_Layout.cshtml中引入公共资源,如: <link href="~/css/reset.css" rel

通过极简模拟框架让你了解ASP.NET Core MVC框架的设计与实现[上篇]

<200行代码,7个对象--让你了解ASP.NET Core框架的本质>让很多读者对ASP.NET Core管道有了真实的了解.在过去很长一段时间中,有很多人私信给我:能否按照相同的方式分析一下MVC框架的设计与实现原理,希望这篇文章能够满足你们的需求.在对本章内容展开介绍之前,顺便作一下广告:<ASP.NET Core 3框架揭秘>已经开始销售,现时5折优惠还有最后4天,有兴趣的从这里入群购买. 目录一.Action元数据的解析     ActionDescriptor