Security » Authorization » 基于资源的授权

最新推荐文章于 2023-11-15 16:30:24 发布
最新推荐文章于 2023-11-15 16:30:24 发布
阅读量166 收藏
点赞数
原文链接:http://www.cnblogs.com/jqdy/p/5995623.html
版权

Resource Based Authorization 基于资源的授权

68 of 73 people found this helpful

Often authorization depends upon the resource being accessed. For example a document may have an author property. Only the document author would be allowed to update it, so the resource must be loaded from the document repository before an authorization evaluation can be made. This cannot be done with an Authorize attribute, as attribute evaluation takes place before data binding and before your own code to load a resource runs inside an action. Instead of declarative authorization, the attribute method, we must use imperative authorization, where a developer calls an authorize function within his own code.

授权经常要取决于访问的资源。例如,某个文档可能有一个作者属性。按照逻辑只允许该文档的作者进行更新,所以在做授权检查前,资源必须能从文档库中将其加载。这些功能靠Authorize属性是做不到的,因为属性检查发生在数据绑定前,同样也在相应方法内你编制的加载资源的代码之前发生。我们不能使用采用属性方法的声明性授权方式,而必须使用命令式授权,在其中,一个开发者在自己的代码中调用授权函数。

Authorizing within your code 代码中的授权

Authorization is implemented as a service, IAuthorizationService, registered in the service collection and available via dependency injection for Controllers to access.

要通过服务的形式实现授权------IAuthorizationService,在服务集合中进行注册,并在控制器中通过依赖注入的方法进行使用。

public class DocumentController : Controller
{
    IAuthorizationService _authorizationService;

    public DocumentController(IAuthorizationService authorizationService)
    {
        _authorizationService = authorizationService;
    }
}

 

IAuthorizationService has two methods, one where you pass the resource and the policy name and the other where you pass the resource and a list of requirements to evaluate.

IAuthorizationService 具有两个方法,一个是传入的资源和策略名称,另一个是传递的资源和待检查要求的列表。

Task<bool> AuthorizeAsync(ClaimsPrincipal user,
                          object resource,
                          IEnumerable<IAuthorizationRequirement> requirements);
Task<bool> AuthorizeAsync(ClaimsPrincipal user,
                          object resource,
                          string policyName);

 

To call the service load your resource within your action then call the AuthorizeAsync overload you require. For example

先在方法中调用资源服务,再调用AuthorizeAsync 加载你的需求。例如:

public async Task<IActionResult> Edit(Guid documentId)
{
    Document document = documentRepository.Find(documentId);

    if (document == null)
    {
        return new HttpNotFoundResult();
    }

    if (await authorizationService.AuthorizeAsync(User, document, "EditPolicy"))
    {
        return View(document);
    }
    else
    {
        return new ChallengeResult();
    }
}

 

Writing a resource based handler 编写基于资源的处理器

Writing a handler for resource based authorization is not that much different to writing a plain requirements handler. You create a requirement, and then implement a handler for the requirement, specifying the requirement as before and also the resource type. For example, a handler which might accept a Document resource would look as follows;

编写基于资源的授权处理程序与编写一个普通的需求处理程序并没有太大不同。先新建一个需求,然后执行该资源的处理程序,对该需求和资源类型进行指定。例如,一个可以接受Document资源的处理程序是这样的:

public class DocumentAuthorizationHandler : AuthorizationHandler<MyRequirement, Document>
{
    public override Task HandleRequirementAsync(AuthorizationHandlerContext context,
                                                MyRequirement requirement,
                                                Document resource)
    {
        // Validate the requirement against the resource and identity.

        return Task.CompletedTask;
    }
}

 

Don’t forget you also need to register your handler in the ConfigureServices method;

不要忘记你也需要在ConfigureServices 方法中注册该处理程序。

services.AddSingleton<IAuthorizationHandler, DocumentAuthorizationHandler>();

 

Operational Requirements 可使用的要求

If you are making decisions based on operations such as read, write, update and delete, you can use the OperationAuthorizationRequirement class in the Microsoft.AspNetCore.Authorization.Infrastructure namespace. This prebuilt requirement class enables you to write a single handler which has a parameterized operation name, rather than create individual classes for each operation. To use it provide some operation names:

如果你基于诸如读、写、改、删等操作进行决策,你可使用Microsoft.AspNetCore.Authorization.Infrastructure 命名空间的OperationAuthorizationRequirement 类。这个预先建好的需求类可使你使用参数化的操作名称将这些操作都编写到一个处理程序中,而不是为每个操作都新建一个单独的类。通过提供一些操作的名称来使用:

public static class Operations
{
    public static OperationAuthorizationRequirement Create =
        new OperationAuthorizationRequirement { Name = "Create" };
    public static OperationAuthorizationRequirement Read =
        new OperationAuthorizationRequirement   { Name = "Read" };
    public static OperationAuthorizationRequirement Update =
        new OperationAuthorizationRequirement { Name = "Update" };
    public static OperationAuthorizationRequirement Delete =
        new OperationAuthorizationRequirement { Name = "Delete" };
}

 

Your handler could then be implemented as follows, using a hypothetical Document class as the resource;

你的处理程序然后就能像这样的被执行了,下面的例子用一个假象的Document类:

public class DocumentAuthorizationHandler :
    AuthorizationHandler<OperationAuthorizationRequirement, Document>
{
    public override Task HandleRequirementAsync(AuthorizationHandlerContext context,
                                                OperationAuthorizationRequirement requirement,
                                                Document resource)
    {
        // Validate the operation using the resource, the identity and
        // the Name property value from the requirement.

        return Task.CompletedTask;
    }
}

 

You can see the handler works on OperationAuthorizationRequirement. The code inside the handler must take the Name property of the supplied requirement into account when making its evaluations.

你可查看按照OperationAuthorizationRequirement 工作的处理程序。当进行检查时,处理程序中的代码必须将需求提供的Name属性传递到账户中。

To call an operational resource handler you need to specify the operation when calling AuthorizeAsync in your action. For example

为了调用一个操作资源的处理程序,当调用方法中的AuthorizeAsync时,你需要对该项操作进行指定。例如:

if (await authorizationService.AuthorizeAsync(User, document, Operations.Read))
{
    return View(document);
}
else
{
    return new ChallengeResult();
}

 

This example checks if the User is able to perform the Read operation for the current document instance. If authorization succeeds the view for the document will be returned. If authorization fails returning ChallengeResult will inform any authentication middleware authorization has failed and the middleware can take the appropriate response, for example returning a 401 or 403 status code, or redirecting the user to a login page for interactive browser clients.

这个例子对User是否可以对当前文档进行Read操作进行检查。如果授权检查成功了,就会返回该文档的视图。如果失败了就返回ChallengeResult ,从而告知认证中间件授权失败,好让中间件采取适当的回应。例如返回401或403状态代码,或者把用户重定向到交互浏览器客户端的登录页面。

 

原文链接

public class DocumentController : Controller { IAuthorizationService _authorizationService; public DocumentController(IAuthorizationService authorizationService) { _authorizationService = authorizationService; } }

转载于:https://www.cnblogs.com/jqdy/p/5995623.html

aigm9302
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Authorization授权
12-14
Laravel官方文档讲解,该资料是一整套视频,需要逐个下载,Authorization授权
SpringSecurity前后端分离Header中添加Authorization的设置以及跨域问题踩坑记录
qq_61887118的博客
05-01 5042
OPTIONS请求即为预检请求,用于判断后端服务是否能接受OPTIONS请求,注意这个请求是没有Auh字段的。OPTIONS请求失败,我全局配置的CORS应该是晚于自定义的handler,所以出现了即使CORS配置了OPTIONS操作的许可,还是出现跨域问题了。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于我向请求头中添加了自定义的属性,所以发送请求时就属于非简单请求。的方法为执行,所以造成了跨域问题,即使自己已经全局配置了跨域。
authorization权限控制_授权Authorization
weixin_34481252的博客
01-17 7856
授权授权是指验证用户是否允许做某件事的过程。Yii提供两种授权方法: 存取控制过滤器(ACF)和基于角色的存取控制(RBAC)。存取控制过滤器存取控制过滤器(ACF)是一种通过 yii\filters\AccessControl 类来实现的简单授权方法, 非常适用于仅需要简单的存取控制的应用。正如其名称所指,ACF 是一个种行动(action)过滤器filter,可在控制器或者模块中使用。当一个...
@SecurityRequirement(name = HttpHeaders.AUTHORIZATION)注解讲解
最新发布
还在活水泥的未来包工头
11-15 969
在上面的例子中,我们在控制器类上使用了@SecurityRequirement注解,并指定了name = HttpHeaders.AUTHORIZATION,表示该接口需要在请求中包含Authorization头部。这样,在生成OpenAPI文档时,会明确指定该安全要求。如果你在使用Spring框架开发RESTful API,并且希望在OpenAPI规范中明确指定需要在请求中包含Authorization头部,可以通过在控制器类或方法上添加@SecurityRequirement注解来实现。
authorization权限控制_认证、授权、鉴权和权限控制
weixin_29117669的博客
01-31 1845
1.1 认证、授权、鉴权和权限控制​ 认证 --> 授权 --> 鉴权 --> 权限控制1.1.1 认证(identification)​ 认证主要是用来确认访问者的身份,确认这个人是不是这个人(常见实现方式是通过用户名和密码,以及身份证)。为了确认用户的身份,防止伪造,在安全要求高的场合,经常会使用组合认证(或者叫多因素认证),也就是同时使用多个认证方式对用户的身份进行...
AUAT授权系统v1.0.zip_AUAT_Authorization_fpr_yky_授权
09-24
AUAT授权系统v1.0,PHP文件授权
springboot-security-oauth2:SpringBoot集成Spring Security、OAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring Security、OAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权码认证...
spring-security-oauth2-authorization-server.zip
08-25
本文以最简配置搭建一个授权服务,让大家初步了解授权服务及相关表。 token 存于数据库中 例子基于Spring Boot 2.1.7.RELEASE ,使用mysql数据库
springSecurity授权认证单点服务
08-12
对springSecurity进行封装,提供OAuth2授权、SSO、文件上传、权限系统无障碍接入、接口防刷、XSS、CSRF、SQL注入、三方登录(绑定,解绑)、加密通信等一系列安全场景的解决方案 这是springBoot1.5版,新版本且基于...
calcseed _lmcryptgui_lmutil.rar
08-27
破解license的必须工具,只要知道seed使用lmcryptgui可以生成license控制器,这个lmcryptgui有1M大小,目前web上大多数资源此文件都是300多K,界面和功能都没法与这个比
第10章 Spring Security HTTP认证
Shiro框架02
10-27 384
HTTP Basic认证 HTTP Basic认证是用户的用户名和密码经过 Base64 编码以后,放在请求头 Authorization 字段中,从而完成用户身份认证。 配置 @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and()
Springboot2.3 + Springdoc-openapi3整合笔记
zxt521yt的博客
12-04 4313
放弃Springfox,追随Springdoc概述快速开始1、添加依赖2、启动项目,查看OpenAPI3.0的json文件3、修改默认/v3/api-docs的访问路径4、集成SwaggerUI5、修改默认访问地址6、启用分组配置示例代码1、配置类```OpenApiConfig.java```2、创建2个不同的包,用来模拟多个微服务3、```application.properties```配置4、定义一个Controller的公共Response对象```R.java```5、自定义异常类```Cust
springdoc-swagger3,Authorization token授权头添加不生效问题
weixin_42506330的博客
06-21 5849
swagger3按照 swagger2的格式,添加授权请求头 ###但我们接口如果需要这么一个权限,使用的也是Authorization,该怎么办呢? 继续查看文档,提供了一个解决方案:添加全局请求头信息 只是这样还不够,还需要在每个接口上添加 Authorization 授权放行 security 参数,指定要放行的权限key 打开swagger:点击授权登陆,填写 token参数...
http请求的时候Header加 Authorization值实现方式
kinghuahua
05-08 5万+
http请求的时候Header加 Authorization值实现方式
HTTP请求头Authorization
热门推荐
ACAMPUS
12-30 6万+
今天部署了一个Authorization项目,由于改了auth服务器客户端id和密码,而前端请求header没有修改,登录时一直弹框要求输入用户名和密码,输入后却无效,只好改前端代码。改完只好就可以了。以下是参考文章。 POST /goform/ser2netconfigAT HTTP/1.1 Host: 192.168.16.254 Connection: keep-alive Author...
Spring Security Authorization 官方文档分析
qq_37813031的博客
03-06 878
Spring Security Authorization 官方文档分析
@Operation(security = {@SecurityRequirement(name = “bearer-jwt“)})的作用
weixin_43377482的博客
06-27 5915
调用swagger未携带token解决方案。 调用swagger出现401
ASP.NET Core 认证与授权[7]:动态授权
weixin_33749131的博客
11-24 250
ASP.NET Core 中基于策略的授权旨在分离授权与应用程序逻辑,它提供了灵活的策略定义模型,在一些权限固定的系统中,使用起来非常方便。但是,当要授权资源无法预先确定,或需要将权限控制到每一个具体的操作当中时,基于策略的授权便不再适用,本章就来介绍一下如何进行动态的授权。 目录 基于资源授权 定义资源Requirement 实现资源授权Handler 调用AuthorizationSe...
hadoop.security.authorization=true
07-28
hadoop.security.authorization=true是Hadoop的一个配置选项,用于开启ServiceLevel Authorization。当设置为true时,Hadoop会对用户进行验证,并根据配置的访问控制列表(ACL)来限制用户对Hadoop服务的访问权限。\...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值