使用.NET从零实现基于用户角色的访问权限控制

于 2023-02-15 08:00:03 发布
阅读量300 收藏 1
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzU2OTY3MTYzOA==&mid=2247491346&idx=1&sn=203b498e3c6dbf2b04d3fd44fb15476c&chksm=fcfa75abcb8dfcbd66d647987c89b6f87a0a7af3d6f302bb5a31223458ac3818c062d09e3452&scene=126&sessionid=0
版权

使用.NET从零实现基于用户角色的访问权限控制

本文将介绍如何实现一个基于.NET RBAC 权限管理系统,如果您不想了解原理,可查看推送的另一篇文章关于Sang.AspNetCore.RoleBasedAuthorization[1] 库是使用介绍,直接使用该库即可。

背景

在设计系统时,我们必然要考虑系统使用的用户,不同的用户拥有不同的权限。主流的权限管理系统都是RBAC模型(Role-Based Access Control 基于角色的访问控制)的变形和运用,只是根据不同的业务和设计方案,呈现不同的显示效果。

在微软文档中我们了解了《基于角色的授权》[2],但是这种方式在代码设计之初,就设计好了系统角色有什么,每个角色都可以访问哪些资源。针对简单的或者说变动不大的系统来说这些完全是够用的,但是失去了灵活性。因为我们不能自由的创建新的角色,为其重新指定一个新的权限范围,毕竟就算为用户赋予多个角色,也会出现重叠或者多余的部分。

RBAC(Role-Based Access Control)即:基于角色的权限控制。通过角色关联用户,角色关联权限的方式间接赋予用户权限。

84dd7b04cfa236eb9cd1a944164a1377.png

RBAC模型可以分为:RBAC0、RBAC1、RBAC2、RBAC3 四种。其中RBAC0是基础,也是最简单的,今天我们就先从基础的开始。

资源描述的管理

在开始权限验证设计之前我们需要先对系统可访问的资源进行标识和管理。在后面的权限分配时,我们通过标识好的资源进行资源和操作权限的分配。

资源描述

创建一个 ResourceAttribute 继承 AuthorizeAttribute 和 IAuthorizationRequirement 资源描述属性,描述访问的角色需要的资源要求。通过转化为 Policy 来对 策略的授权[3] 提出要求。

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class ResourceAttribute: AuthorizeAttribute, IAuthorizationRequirement
{
    private string _resouceName;
    private string? _action;
    /// <summary>
    /// 设置资源类型
    /// </summary>
    /// <param name="name">资源名称</param>
    /// <exception cref="ArgumentNullException">资源名称不能为空</exception>
    public ResourceAttribute(string name)
    {
        if (string.IsNullOrEmpty(name))
        {
            throw new ArgumentNullException(nameof(name));
        }
        string[] resourceValues = name.Split('-');
        _resouceName = resourceValues[0];
        if (resourceValues.Length > 1)
        {
            Action = resourceValues[1];
        }
        else
        {
            Policy = resourceValues[0];
        }
    }


    /// <summary>
    /// 获取资源名称
    /// </summary>
    /// <returns></returns>
    public string GetResource()
    {
        return _resouceName;
    }


    /// <summary>
    /// 获取操作名称
    /// </summary>
    public string? Action
    {
        get
        {
            return _action;
        }
        set
        {
            _action = value;
            if (!string.IsNullOrEmpty(value))
            {
                //把资源名称跟操作名称组装成Policy
                Policy = _resouceName + "-" + value;
            }
        }
    }
}

获得所有资源

我们标识好系统中的资源后,还需要获取到我们最终程序中都标识有哪些资源,这里就需使用 ASP.NET Core 中的应用程序模型[4]。可以在程序启动时获取到所有的 Controller 和 Controller 中的每一个方法,然后通过查询 ResourceAttribute 将其统一存储到静态类中。

创建一个 ResourceInfoModelProvider 继承 IApplicationModelProvider,其执行顺序我们设置为=> -989。其执行顺序:

•首先 (Order=-1000):DefaultApplicationModelProvider•然后(Order= -990):AuthorizationApplicationModelProvider CorsApplicationModelProvider•接着是这个 ResourceInfoModelProvider

其核心代码如下:

/// <summary>
/// 基于其 Order 属性以倒序调用
/// </summary>
/// <param name="context"></param>
public void OnProvidersExecuted(ApplicationModelProviderContext context)
{
    if (context == null)
    {
        throw new ArgumentNullException(nameof(context));
    }
    //获取所有的控制器
    List<ResourceAttribute> attributeData = new List<ResourceAttribute>();
    foreach (var controllerModel in context.Result.Controllers)
    {
        //得到ResourceAttribute


        //Controller 的特性
        var resourceData = controllerModel.Attributes.OfType<ResourceAttribute>().ToArray();
        if (resourceData.Length > 0)
        {
            attributeData.AddRange(resourceData);
        }
        //Controller 中的每个方法的特性
        foreach (var actionModel in controllerModel.Actions)
        {
            var actionResourceData = actionModel.Attributes.OfType<ResourceAttribute>().ToArray();
            if (actionResourceData.Length > 0)
            {
                attributeData.AddRange(actionResourceData);
            }
        }
    }
    // 整理信息集中存入全局
    foreach (var item in attributeData)
    {
        ResourceData.AddResource(item.GetResource(), item.Action);
    }
}

授权控制的实现

接下来我们要对授权控制来进行编码实现,包含自定义授权策略的实现和自定义授权处理程序。

动态添加自定义授权策略

关于自定义授权策略提供程序[5]的说明,这里不再赘述微软的文档,里面已经介绍了很详细,这里我们通过其特性可以动态的创建自定义授权策略,在访问资源时我们获取到刚刚标识的 Policy 没有处理策略,就直接新建一个,并传递这个策略的权限检查信息,当然这只是一方面,更多妙用,阅读文档里面其适用范围的说明即可。

/// <summary>
/// 自定义授权策略
/// 自动增加 Policy 授权策略
/// </summary>
/// <param name="policyName">授权名称</param>
/// <returns></returns>
public Task<AuthorizationPolicy> GetPolicyAsync(string policyName)
{
    // 检查这个授权策略有没有
    AuthorizationPolicy? policy = _options.GetPolicy(policyName);


    if (policy is null)
    {
        _options.AddPolicy(policyName, builder =>
        {
            builder.AddRequirements(new ResourceAttribute(policyName));
        });
    }


    return Task.FromResult(_options.GetPolicy(policyName));
}

授权处理程序

前面我们已经可以动态创建授权的策略,那么关于授权策略的处理[6]我们可以实现 AuthorizationHandler 根据传递的策略处理要求对本次请求进行权限的分析。

internal class ResourceAuthorizationHandler : AuthorizationHandler<ResourceAttribute>
{
    /// <summary>
    /// 授权处理
    /// </summary>
    /// <param name="context">请求上下文</param>
    /// <param name="requirement">资源验证要求</param>
    /// <returns></returns>
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, ResourceAttribute requirement)
    {
        // 需要有用户
        if (context.User is null) return Task.CompletedTask;




        if (context.User.IsInRole(ResourceRole.Administrator) // 超级管理员权限,拥有 SangRBAC_Administrator 角色不检查权限
            || CheckClaims(context.User.Claims, requirement) // 符合 Resource 或 Resource-Action 组合的 Permission
            )
        {
            context.Succeed(requirement);
        }
        return Task.CompletedTask;


    }


    /// <summary>
    /// 检查 Claims 是否符合要求
    /// </summary>
    /// <param name="claims">待检查的claims</param>
    /// <param name="requirement">检查的依据</param>
    /// <returns></returns>
    private bool CheckClaims(IEnumerable<Claim> claims, ResourceAttribute requirement)
    {
        return claims.Any(c =>
                    string.Equals(c.Type, ResourceClaimTypes.Permission, StringComparison.OrdinalIgnoreCase)
                    && (string.Equals(c.Value, requirement.GetResource(), StringComparison.Ordinal)
                    || string.Equals(c.Value, $"{requirement.GetResource()}-{requirement.Action}", StringComparison.Ordinal))
                    );
    }
}

这里我们提供了一个内置固定角色名的超级管理员用户,其请求不进行权限检查。

最后

这里我们已经实现了简单的 RBAC 权限设计,之后我们主要在生成 JWT 时带上可访问资源的Permission即可。

new Claim(ResourceClaimTypes.Permission,"查询")

当然,如果直接放在 jwt 中会让 Token 变得很长,虽然我其实并不理解微软的 ClaimTypes 使用一个URI标识,如果有了解的朋友可以帮我解个惑,万分感谢 https://stackoverflow.com/questions/72293184/ 。

回到这个问题,我们可以再设计一个中间件,在获取到用户的角色名时将其关于角色权限的ClaimTypes加入到 content.User 即可。关于这一方面的详细介绍和实现可以看下一篇文章。

本文介绍的相关代码已经提供 Nuget 包,并开源了代码,感兴趣的同学可以查阅:https://github.com/sangyuxiaowu/Sang.AspNetCore.RoleBasedAuthorization

如有错漏之处,敬请指正。

References

[1] Sang.AspNetCore.RoleBasedAuthorization: https://www.nuget.org/packages/Sang.AspNetCore.RoleBasedAuthorization
[2] 《基于角色的授权》: https://learn.microsoft.com/zh-cn/aspnet/core/security/authorization/roles?view=aspnetcore-6.0
[3] 策略的授权: https://learn.microsoft.com/zh-cn/aspnet/core/security/authorization/policies?view=aspnetcore-6.0
[4] 使用 ASP.NET Core 中的应用程序模型: https://learn.microsoft.com/zh-cn/aspnet/core/mvc/controllers/application-model?view=aspnetcore-6.0
[5] 自定义授权策略提供程序: https://learn.microsoft.com/zh-cn/aspnet/core/security/authorization/iauthorizationpolicyprovider?view=aspnetcore-6.0
[6] 授权策略的处理: https://learn.microsoft.com/zh-cn/aspnet/core/security/authorization/policies?view=aspnetcore-6.0

溪源More
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net(c#)开源权限管理系统
04-08
其主要的功能就是,进行后台权限管理模块整合. 1)其可以支持多个应用,多个模块的权限管理. 2)支持Access和MsSql200/2005及Oracle9i以上. 3)采用角色来进行权限的授权,每个用户可以属于多个角色,享有交差权限. 4)整合方便,权限检测采用httpmodule方式检测.基本不用对原有程序进行修改,便可将原有程序进行整合. 5)可视化编辑,全新的Menu和Tab控件.支持拖拉式编辑. 6)统一的事件日志管理,所有登陆操作都有安全记录. 7)每个模块的每个栏目对应一个目录, 栏目的权限默认抽象分为(查看/新增/修改/删除/排序/打印/备用A/备用B),每栏目权限可最多扩展为20个自定义权限. 8)可通过目录中web.config来进行目录文件权限配置,可直接将某个文件名设定到相对应的权限上.
基于RBAC的权限管理系统实现--经典
weixin_30802171的博客
07-13 211
0 引 言   在许多的实际应用中,不只是要求用户简单地进行注册登录,还要求不同类别的用户对资源有不同的操作权限。目前,权限管理系统也是重复开发率最高的模块之一。在企业中,不同的应用系统都拥有一套独立的权限管理系统。每套权限管理系统只满足自身系统的权限管理需要,无论在数据存储、权限访问和权限控制机制等方面都可能不一样,这种不一致性存在如下弊端:   (1)系统管理员需要维护多套权限管理系统,重...
利用 AOP 实现 .NET 上完整的基于角色的访问控制RBAC)模型{zhuang}
电子商务 asp.net ajax
10-08 2135
一. 背景 .NET 平台上没有完整的 RBAC 机制,.NET 中的安全模型(代码访问安全性:CAS)只是实现到 Role 层次,没有细化到 Task 层次,ASP.NET 2.0 中的诸多安全机制,如 Membership、Web.Config 的安全配置,都只能针对 Role 进行设置,大家在利用这些安全机制,往往需要在程序/代码硬编码(HardCode)角色,这样就无法实现在运行期自定义
学习笔记(5):.net core快速开发框架-权限和认证
u012546310的博客
10-23 505
WTM是基于.netcore的开源快速开发框架,github标星2400. 本教程详细的介绍了WTM的功能和使用方法,以及asp.net core和entityframework相关知识的讲解,另外还有一些我个人对于编程的理解。 为了避免大家感觉枯燥,我会模拟一个疫情防控上报系统的具体开发过程,贯穿整个教程。 为回报大家的厚爱,本教程会一直更新,主要围绕.netcore相关知识,最近更新的是在.n...
ASP.NET MVC4 自定义权限(角色)验证
shuai_wy的专栏
09-30 6973
ASP.NET MVC4 自定义权限(角色)验证。 自定义验证方法,自定义验证失败处理方法。 异步请求验证失败,返回JSON数据。 同步请求验证失败,跳转登录页。
在 ASP.NET实现不同角色用户使用不同登录界面的方法
hxp42的专栏
10-14 843
<br />很多用户在开发 ASP.NET 应用程序时都有这样的需求:管理员角色的账户使用管理员的登录界面进行登录,普通用户角色的账户使用普通用户的登录界面进行登录。由于ASP.NET的web.config里只能使用一个 authentication mode="Forms" 节点,所以,要实现不同用户采用不同的登录界面,一个办法就是创建一个管理员专用的虚拟目录,并设置为应用程序来实现。下面介绍另外一种采用重定向的办法来解决这个问题。<br />本文介绍的方法原理是根据登录界面的返回地址进行判断,然后重定向
Asp.Net 下的权限管理
11-21 4738
  有关代码下载:http://xuzhiqiang1010.download.csdn.net/Asp.Net 下的权限管理一、需求分析:1、  页面结构:一般的管理系统界面,即页面分为三个部分,上部是有关公司的图片信息,左边是树形菜单,左边是具体菜单对应的页面。2、  权限分析:结合客户的意思和实际经验,将权限分为两部分:1》、大权限:即控制不同角色用户看到不同的树形菜
C# .Net后台管理系统-权限管理
luojiayu42的博客
01-16 6291
C# .Net Core 权限管理系统
ASP.NET系统用户权限设计与实现(转摘)
自强学堂
04-21 1699
引言    电子商务系统对安全问题有较高的要求,传统的访问控制方法DAC(Discretionary Access Control,自主访问控制模型)、MAC(Mandatory Access Control,强制访问控制模型)难以满足复杂的企业环境需求。因此,NIST(National Institute of Standards and Technology,美国国家标准化和技术委员会)于90
.Net平台下基于角色的访问控制系统的设计与实现
03-04
摘要应用Windows系统.NetFramework开发平台,采用自定义属性、类型及反射等技术,通过对不同应用系统的资源ID生成、访问方式,以及资源树访问接口的定义,给出一套简洁、实用的基于角色用户权限管理系统的通用平台...
ASP.NET MVC 中实现基于角色的权限控制的处理方法
01-01
但是,我们在实际的应用中所使用的大都是基于角色(Roles)的认证方式,NeedDinner中却未给出,本文给出具体实现(基于ASP.NET Forms验证)过程: step 1在完成UserName和Password认证后,向客户端写
asp.net 基于forms验证的目录角色权限的实现
10-29
一个系统中经常有多种身份的用户,往往要根据其身份来控制目录的访问权限。asp.net提供了forms验证,能够轻易的在配置文件中设置用户对目录的访问权限.
asp.net Forms身份验证和基于角色的权限访问
10-29
Forms身份验证用来判断是否合法用户,当用户合法后,再通过用户角色决定能访问的页面。
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
源代码-access 管理 系统 API 文件.zip
04-29
源代码-access 管理 系统 API 文件.zip
.net 用户角色和权限 开源
07-13
这些框架还提供了基于角色的访问控制,可以限制用户对特定资源的访问。 对于权限管理,开源的权限管理库如 Casbin 和 Authorization、NWebSec 等也提供了丰富的功能。这些库允许开发人员定义和管理具体的权限,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值