在 .NET 5.0 中自定义授权响应

最新推荐文章于 2024-06-06 11:40:27 发布
最新推荐文章于 2024-06-06 11:40:27 发布
阅读量614 收藏
点赞数
文章标签: 过滤器 java 数据库 软件测试 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/farway000/article/details/119551063
版权

在 .NET 5.0 中自定义授权响应

ASP.NET Core 授权框架中经常要求的[1]一项功能是能够在授权失败时自定义 HTTP 响应。

以前,唯一的方法是IAuthorizationService直接在您的控制器中(或通过过滤器)调用授权服务 ,类似于基于资源的授权方法[2]或实现您自己的授权过滤器[3]

从 .NET 5.0 开始,您现在可以通过实现IAuthorizationMiddlewareResultHandler接口来自定义 HTTP 响应;当授权失败时,授权框架会自动调用中间件。

这是 记录[4]在微软文档的网站,但根据我的具体使用情况我花了不少时间才找到。

问题

我一直在采取措施将旧的 ASP.NET Web API 应用程序移植到 .NET Core 5.0。此 API 具有分层 URI 结构,因此大多数端点将位于“站点”资源下,例如:

/sites/sites/{siteId}/sites/{siteId}/blog

为了验证用户是否有权访问指定站点,该应用程序以前使用自定义操作过滤器来提取siteId路由参数并根据用户的声明对其进行验证。迁移到 .NET 5.0 我想利用授权框架来实现这种基于资源的授权,但同样不想在每个控制器中复制这个逻辑。

我的解决方案是实现一个执行类似操作的授权处理程序,获取siteId参数并验证用户的访问权限:

public class SiteAccessAuthorizationHandler : AuthorizationHandler<SiteAccessRequirement>
{
    private const string SiteIdRouteParameter = "siteId";
    private readonly ILogger<SiteAccessAuthorizationHandler> _logger;


    public SiteAccessAuthorizationHandler(ILogger<SiteAccessAuthorizationHandler> logger)
    {
        _logger = logger.NotNull(nameof(logger));
    }


    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, SiteAccessRequirement requirement)
    {
        context.NotNull(nameof(context));
        requirement.NotNull(nameof(requirement));


        if (context.Resource is HttpContext httpContext
            && httpContext.GetRouteData().Values.TryGetValue(SiteIdRouteParameter, out object? routeValue)
            && routeValue is string siteId)
        {
            string qualifiedId = $"sites/{siteId}";
            AccountPrincipal account = context.User.ToAccount();


            _logger.LogDebug("Validating access to Site {SiteId} from User {UserId}.", qualifiedId, account.GetAuthIdentifier());


            if (account.CanAccessSite(qualifiedId))
            {
                context.Succeed(requirement);
            }
            else
            {
                _logger.LogWarning("Site validation failed. User {UserId} is not permitted to access {SiteId}.", account.GetAuthIdentifier(), qualifiedId);
            }
        }


        return Task.CompletedTask;
    }
}

然后将其注册为授权策略的一部分:

services.AddAuthorization(options =>
{                
    options.FallbackPolicy = Policies.FallbackPolicy;
    options.AddPolicy("SiteAccess", Policies.SiteAccessPolicy);
})


public static AuthorizationPolicy SiteAccessPolicy =>
    ConfigureDefaults(new AuthorizationPolicyBuilder())
        .AddRequirements(new SiteAccessRequirement())
        .Build();


private static AuthorizationPolicyBuilder ConfigureDefaults(AuthorizationPolicyBuilder builder)
    => builder.AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme)
        .RequireAuthenticatedUser()
        .RequireClaim(JwtClaimTypes.ClientId);

并应用于控制器和/或动作:

[Authorize(Policy = "SiteAccess")]
[HttpGet("{siteId}", Name = RouteNames.SiteRoute)]
public async Task<IActionResult> GetSiteAsync(string siteId, CancellationToken cancellationToken)
{
    var site = await _session.LoadAsync<CMS.Domain.Site>($"sites/{siteId}", cancellationToken);
    return site is null ? NotFound() : Ok(Enrich(_mapper.Map<Site>(site), true));
}

当我尝试访问未映射到当前用户的站点时,我会收到HTTP 403 - Forbidden响应。

这样虽然达到了保护站点资源的目的,但也存在泄露用户无权访问的站点信息的弊端。因此最好返回一个HTTP 404 - Not Found响应。考虑到该站点不存在于用户的站点资源集合中,这在语义上也是有意义的。

如果您想知道为什么我不只是将用户过滤器作为查询的一部分,那是因为用户/帐户与内容域是分开的,并且由于数据模型的设计以及我使用的事实键值存储,验证访问的责任转移到应用层。

解决方案

为了实现上述目标,我们可以使用 newIAuthorizationMiddlewareResultHandler并创建一个处理程序,当由于我的站点访问要求未得到满足而导致授权失败时,该处理程序会转换 HTTP 响应:

public class AuthorizationResultTransformer : IAuthorizationMiddlewareResultHandler
{
    private readonly IAuthorizationMiddlewareResultHandler _handler;


    public AuthorizationResultTransformer()
    {
        _handler = new AuthorizationMiddlewareResultHandler();
    }


    public async Task HandleAsync(
        RequestDelegate requestDelegate,
        HttpContext httpContext,
        AuthorizationPolicy authorizationPolicy,
        PolicyAuthorizationResult policyAuthorizationResult)
    {
        if (policyAuthorizationResult.Forbidden && policyAuthorizationResult.AuthorizationFailure != null)
        {
            if (policyAuthorizationResult.AuthorizationFailure.FailedRequirements.Any(requirement => requirement is SiteAccessRequirement))
            {
                httpContext.Response.StatusCode = (int)HttpStatusCode.NotFound;
                return;
            }


            // Other transformations here
        }


        await _handler.HandleAsync(requestDelegate, httpContext, authorizationPolicy, policyAuthorizationResult);
    }
}

在上面的代码中,我检查授权失败(结果是禁止)和失败的要求,相应地更改HTTP状态代码;否则我们通过调用内置的AuthorizationMiddlewareResultHandler.

为了连接自定义处理程序,它在启动时注册:

services.AddAuthorization(options =>
{                
    options.FallbackPolicy = Policies.FallbackPolicy;
    options.AddPolicy("SiteAccess", Policies.SiteAccessPolicy);
})
.AddSingleton<IAuthorizationMiddlewareResultHandler, AuthorizationResultTransformer>();

References

[1] 经常要求的: https://github.com/dotnet/aspnetcore/issues/4670
[2] 基于资源的授权方法: https://docs.microsoft.com/en-us/aspnet/core/security/authorization/resourcebased?view=aspnetcore-5.0
[3] 实现您自己的授权过滤器: https://ignas.me/tech/custom-unauthorized-response-body/
[4] 记录: https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/customizingauthorizationmiddlewareresponse?view=aspnetcore-5.0

溪源More
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net5用户认证与授权(2)
10-23
ASP.NET5主要提供了两种应用程序,其一就是ASP.NET5控制台程序,另外一个是ASP.NET Web 应用程序。本文给大家介绍asp.net5用户认证与授权(2),需要的童鞋可以参考下
Asp.net的认证与授权
weixin_33836223的博客
12-03 139
     首先声明一下,认证与授权远远不止我下面讲的这么简单(否则吉日也没必要在这上面浸淫多年了^_^)。下文介绍了asp.net如何通过自带的功能实现用户认证与授权,而不必在页面在写判断session是否为空等等判断了。如果您已有这方面的知识还是直接略过吧……     用户认证         .net提供了3种用户认证的方式,分别是Windows,Forms,Passpo...
asp.net Core AuthorizationHandler 实现自定义授权
最新发布
vaevvaev的博客
06-06 131
ASP.NET Core 继承的是AuthorizationHandler ,而ASP.NET Framework 继承的是AuthorizeAttribute.它们都是用过重写里面的方法实现过滤请求的。现在我们实现如何在 ASP.NET Core MVC 实现自定义授权。关于AuthorizationHandler 详细介绍可以看这里比如我们后台有个博客管理功能,那我们可以新建一个Blog的控制器,比如BlogController。
ASP.NET指定自定义HTTP响应标头
weixin_30379973的博客
04-19 567
新建一个类HideServerHeaderHelper,继承IHttpModule,然后重写OnPreSendRequestHeaders,Dispose,Init方法,如下代码所示 using System; using System.Collections.Generic; using System.Web; namespace MvcApp.Filters { ...
.NET Core项目实战-统一认证平台】第六章 网关篇-自定义客户端授权
dotNET跨平台
11-19 387
上篇文章【.NET Core项目实战-统一认证平台】第五章 网关篇-自定义缓存Redis 我们介绍了网关使用Redis进行缓存,并介绍了如何进行缓存实现,缓存信息清理接口...
ASP.NET自定义线程
04-13
在ASP.NET自定义线程是开发人员为了实现特定并发和异步处理需求而创建的非默认工作线程。这种技术通常用于处理长时间运行的任务,以避免阻塞主线程,提高应用程序的响应性和可伸缩性。在本文,我们将深入探讨...
TeeChart-for-NET5.0-alpha-samples:TeeChart for .NET 5.0 alpha版的示例
03-19
6. **响应式设计**:在.NET 5.0,TeeChart支持跨设备和屏幕尺寸的适配。示例可能展示如何根据设备特性调整图表的布局和大小。 7. **WPF和WinForms**:虽然.NET 5.0主要针对WPF(Windows Presentation Foundation...
Adminty:.Net Core 5.0的管理模板
04-01
.NET Core 5.0,Adminty可能利用了以下关键特性: 1. **高性能**: .NET Core 5.0在性能方面进行了大量优化,包括更快的启动时间、更高的吞吐量和更少的内存消耗,使得Adminty模板能够快速响应用户操作。 2. **...
BlogEngine.NET-3.3.5.0
04-09
在BlogEngine.NET 3.3.5.0版本,开发团队集精力解决了之前版本发现的问题。这些修复可能涉及到安全性、性能、用户体验和兼容性等多个方面。通常,版本更新会包括: 1. **错误修复**:修复可能导致程序崩溃或...
.net DTcms V5.0导航菜单插件源码
09-03
在DTcms V5.0,导航菜单作为一个插件存在,允许开发者自定义菜单结构,增强了系统的灵活性和可扩展性。 二、.NET框架与DTcms的结合 DTcms基于.NET Framework构建,利用ASP.NET MVC技术进行Web开发。MVC模式使得...
CRUD_ASP.NETCore_5.0:在Visual Studio ASP .NET Core 5.0和SQL Server进行CRUD MVC的创建| 代码优先和数据库优先
02-12
CRUD MVC ASP.NETCore 5.0 代码优先(Código入门): 脚手架的远景 数据库优先(数据库primero): 部分视图的列表。 部分视图实用程序实用程序Ajax。 在拉塔布拉大街上的男式长靴。 注册数据表。 格拉西亚斯
NetCore实现404和500状态码自定义处理页面
月月鸟先森的博客
03-13 1310
使用NerCore开发框架过程需要对404,500等状态码进行友好提示页面处理,参照asp.net mvc并没有发现提供Application_Error和Application_BeginRequest方法,是用拦截器路由不匹配的情况下也不会进行拦截,但NetCore在Microsoft.AspNetCore.Builder.UseExtensions提供了Use扩展方法对HttpContext进行了拦截处理,这样我们就可以获取到Request和Response针对跳转进行处理,我们在Startup
.NET 5 GRPC 认证和授权
一切皆可码
04-10 840
认证和授权一般是同时出现的,先做认证,认证的时候进行权限获取,进入接口之前根据接口的权限要求进行授权校验 假设有个接口,他需要的访问权限是用户年龄必须为18岁,采用jwt进行认证 接口访问流程:用户先获取到JWT的token—>请求接口带上token—>进行token校验并将用户的年龄作为Claim设置到ClaimsPrincipal---->进入接口权限校验 先启用认证和授权,该配置一定要在app.UseEndpoints之前,认证最好也是放在授权之前,否则会先进行授权逻辑再进行验证
.NET Core / .NET 5 JSON 返回格式配置 踩坑日记
qq_42798138的博客
05-05 2693
.NET Core / .NET 5 JSON 返回格式配置 踩坑日记.NET Core / .NET 5 JSON 返回格式配置 踩坑日记JSON 返回格式全局配置踩坑还原解决方案为什么会出现这种情况?今天的学习就到这里吧! .NET Core / .NET 5 JSON 返回格式配置 踩坑日记 一般我们在项目用到最多的JSON序列化工具,就是第三方的包 Newtonsoft.Json,说实话这个东西是真的香,香的不得了,但是我今天踩坑了。 JSON 返回格式全局配置 现在百度一个.NET Cor
[Asp.Net Core]NET5策略鉴权
德仔
12-29 346
之前的角色授权是在代码把角色定义死了;更希望能够自己来完成校验逻辑; 第一步:增加CustomAuthorizationHandler-----专用做检验逻辑的; 要求继承自 AuthorizationHandler<> 泛型抽象类; public class CustomAuthorizationHandler :AuthorizationHandler<CustomAuthorizationRequirement> { public Custom
.Net Core Policy 基于策略授权
csdn_aspnet的专栏
01-30 856
在ASP.NET Core,重新设计了一种更加灵活的授权方式:基于策略的授权, 它是授权的核心.在使用基于策略的授权时,首先要定义授权策略,而授权策略本质上就是对Claims的一系列断言。基于角色的授权和基于Scheme的授权,只是一种语法上的便捷,最终都会生成授权策略。除了OperationAuthorizationRequirement外,都有对应的快捷添加方法,比如RequireClaim,RequireRole,RequireUserName等。新建类 PermissionHandler。
【ASP.NET Core 基础知识】--身份验证和授权--授权和策略
喵叔
01-30 1932
在ASP.NET Core授权和策略是关键的安全概念。授权确定用户是否有权限执行某操作或访问资源,而策略是组织授权规则的集合。通过使用属性,可以将授权规则应用到控制器或操作方法。自定义策略处理程序通过实现接口提供灵活的授权逻辑。在Startup.cs,可以注册策略处理程序和定义策略。身份验证方案可以通过属性或在Startup.cs配置来限制访问。这样,ASP.NET Core提供了强大而灵活的身份验证和授权机制,用于实现应用程序的安全访问控制。
ASP.NET Core 5.0 的新增功能
https://github.com/conanl5566
11-11 1536
本文重点介绍 ASP.NET Core 5.0 最重要的更改,并提供相关文档的链接。 ASP.NET Core MVC 和 :::no-loc(Razor)::: 改进 通过模型绑定将日期/时间绑定到 UTC 模型绑定现在支持将 UTC 时间字符串绑定到DateTime。如果请求包含 UTC 时间字符串,则模型绑定会将其绑定到 UTCDateTime。例如,以下时间字符串会绑定到 UTCDateTime:https://example.com/mycontroller/myaction?t...
ASP.NET Core 5.0访问 HttpContext 教程
"该文档详细介绍了在ASP.NET Core 5.0如何访问HttpContext的相关知识,包括通过Razor Pages、Razor视图、控制器、间件以及自定义组件的多种方式。" 在ASP.NET Core 5.0,访问HttpContext是开发者在处理HTTP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值