.NET 云原生架构师训练营(权限系统 代码实现 ActionAccess)--学习笔记

最新推荐文章于 2022-02-22 21:27:33 发布
最新推荐文章于 2022-02-22 21:27:33 发布
阅读量364 收藏
点赞数
分类专栏: .NET 云原生架构师训练营 文章标签: .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingson666/article/details/122953873
版权

目录

  • 开发任务
  • 代码实现

开发任务

  • DotNetNB.Security.Core:定义 core,models,Istore;实现 default memory store
  • DotNetNB.Security.ActionAccess:扫描 action;添加 action authorize filter;添加集成方式

代码实现

对于一个 web 项目,Filter 是在构建构建 builder 的时候添加的

builder.Services.AddControllers(options =>
{
    options.Filters.Add<>()
})

这里不可能让用户手动添加,所以需要有一个扩展方法给用户调用

using Microsoft.AspNetCore.Mvc;

namespace DotNetNB.Security.ActionAccess
{
    public static class MvcOptionsExtensions
    {
        public static MvcOptions AddActionAccessControl(this MvcOptions options)
        {
            options.Filters.Add<DynamicAuthorizeFilter>();
            return options;
        }
    }
}

创建 Resource,包含 Key 和 Data 两个属性

namespace DotNetNB.Security.Core.Models
{
    public class Resource
    {
        public string Key { get; set; }

        public object Data { get; set; }
    }
}

创建 ActionResource,继承 Resource,包含 ControllerName,ActionName,RouteTemplate 和 HttpVerb 几个属性

using DotNetNB.Security.Core.Models;

namespace DotNetNB.Security.ActionAccess
{
    public class ActionResource : Resource
    {

    }

    public class ActionResourceData
    {
        public string? ControllerName { get; set; }

        public string? ActionName { get; set; }
        
        public  string DisplayName { get; set; }

        public string? RouteTemplate { get; set; }

        public string? HttpVerb { get; set; }
    }
}

定义一个 IResourceManager 接口,提供创建资源的方法

using DotNetNB.Security.Core.Models;

namespace DotNetNB.Security.Core
{
    public interface IResourceManager
    {
        public Task CreateAsync(Resource resource);

        public Task CreateAsync(IEnumerable<Resource> resources);
    }
}

参考 ASP .NET Core 源码中的 ActionEndpointDataSourceBase:

https://github.com/dotnet/aspnetcore/blob/main/src/Mvc/Mvc.Core/src/Routing/ActionEndpointDataSourceBase.cs

创建 endpoint 的时候有一个 action 的列表 ActionDescriptors

var endpoints = CreateEndpoints(_actions.ActionDescriptors.Items, Conventions);

它的类型是一个 IActionDescriptorCollectionProvider,专门用于扫描获取所有的 action

private readonly IActionDescriptorCollectionProvider _actions;

在 ActionAccess 模块的 ActionResourceProvider 中把它加进来

using Microsoft.AspNetCore.Mvc.Infrastructure;

namespace DotNetNB.Security.ActionAccess
{
    public class ActionResourceProvider
    {
        private readonly IActionDescriptorCollectionProvider _actionDescriptorCollectionProvider;

        public ActionResourceProvider(IActionDescriptorCollectionProvider actionDescriptorCollectionProvider)
        {
            _actionDescriptorCollectionProvider = actionDescriptorCollectionProvider;
        }
    }
}

在 host 启动的时候扫描获取所有的 action 信息,定义一个 IResourceProvider 接口

namespace DotNetNB.Security.Core
{
    public interface IResourceProvider
    {
        public Task<IEnumerable<Resource>> ExecuteAsync();
    }
}

ActionResourceProvider 实现这个接口,从 ActionDescriptors 获取 action 信息,构建 ActionResourceData

public async Task<IEnumerable<Resource>> ExecuteAsync()
{
    var actions = _actionDescriptorCollectionProvider.ActionDescriptors.Items;
    var actionResources = new List<ActionResource>();

    foreach (var action in actions)
    {
        if (action is ControllerActionDescriptor)
        {
            var actionDescriptor = action as ControllerActionDescriptor;
            var httpMethod = action.EndpointMetadata.Where(m => m is HttpMethodMetadata).FirstOrDefault() as HttpMethodMetadata;

            var routeAttribute =
                actionDescriptor?.EndpointMetadata.FirstOrDefault(m => m is RouteAttribute) as RouteAttribute;

            var resourceData = new ActionResourceData();
            resourceData.HttpVerb = httpMethod?.HttpMethods.First();
            resourceData.ActionName = actionDescriptor?.ActionName;
            resourceData.ControllerName = actionDescriptor?.ControllerName;
            resourceData.RouteTemplate = routeAttribute?.Template;
            resourceData.DisplayName = action.DisplayName;

            actionResources.Add(new ActionResource()
            {
                Data = resourceData,
                Key = actionDescriptor.GetSecurityKey()
            });
        }
    }

    return await Task.FromResult(actionResources);
}

参考 ASP .NET Core 源码中的 AuthorizeFilter:

https://github.com/dotnet/aspnetcore/blob/main/src/Mvc/Mvc.Core/src/Authorization/AuthorizeFilter.cs

AuthorizeFilter 中有一个 OnAuthorizationAsync 的方法,首先获取 policy 执行器,然后执行了认证,接着执行授权,根据授权结果修改 AuthorizationFilterContext,我们权限主要是 Forbidden 的结果,返回 403 即可

public virtual async Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
    if (context == null)
    {
        throw new ArgumentNullException(nameof(context));
    }

    if (!context.IsEffectivePolicy(this))
    {
        return;
    }

    // IMPORTANT: Changes to authorization logic should be mirrored in security's AuthorizationMiddleware
    var effectivePolicy = await GetEffectivePolicyAsync(context);
    if (effectivePolicy == null)
    {
        return;
    }

    var policyEvaluator = context.HttpContext.RequestServices.GetRequiredService<IPolicyEvaluator>();

    var authenticateResult = await policyEvaluator.AuthenticateAsync(effectivePolicy, context.HttpContext);

    // Allow Anonymous skips all authorization
    if (HasAllowAnonymous(context))
    {
        return;
    }

    var authorizeResult = await policyEvaluator.AuthorizeAsync(effectivePolicy, authenticateResult, context.HttpContext, context);

    if (authorizeResult.Challenged)
    {
        context.Result = new ChallengeResult(effectivePolicy.AuthenticationSchemes.ToArray());
    }
    else if (authorizeResult.Forbidden)
    {
        context.Result = new ForbidResult(effectivePolicy.AuthenticationSchemes.ToArray());
    }
}

DynamicAuthorizeFilter 继承自 AuthorizeFilter,只获取 ControllerActionDescriptor 类型的 action,如果 permissions 中不包含 actionKey 则返回 403

using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Authorization;
using Microsoft.AspNetCore.Mvc.Controllers;
using Microsoft.AspNetCore.Mvc.Filters;

namespace DotNetNB.Security.ActionAccess
{
    public class DynamicAuthorizeFilter : AuthorizeFilter
    {
        public override async Task OnAuthorizationAsync(AuthorizationFilterContext context)
        {
            var actionDescriptor = context.ActionDescriptor as ControllerActionDescriptor;
            if (actionDescriptor == null)
            {
                return;
            }

            base.OnAuthorizationAsync(context);
            if (context.Result != null)
            {
                return;
            }

            var permissions = context.HttpContext.User.Claims.Where(c => c.Type == Core.ClaimsTypes.Permission);
            var actionKey = actionDescriptor.GetSecurityKey();

            var values = permissions.Select(p => p.Value);
            if (!values.Contains(actionKey))
            {
                context.Result = new ForbidResult();
            }
        }
    }
}

在 ClaimsTypes 中增加一个 Permission 类型的 ClaimsType

namespace DotNetNB.Security.Core
{
    public static class ClaimsTypes
    {
        public const string Permission = "Permission";
    }
}

为了避免重复代码,添加一个 GetSecurityKey 的扩展方法

using Microsoft.AspNetCore.Mvc.Controllers;
using Microsoft.AspNetCore.Mvc.Internal;

namespace DotNetNB.Security.ActionAccess;

public static string GetSecurityKey(this ControllerActionDescriptor descriptor)
{
    var httpMethod = descriptor.EndpointMetadata.FirstOrDefault(m => m is HttpMethodMetadata) as HttpMethodMetadata;

    return string.Format($"{descriptor?.ControllerName}-{descriptor?.ActionName}-{httpMethod.HttpMethods.First()}");
}

这样就完成了 DotNetNB.Security.ActionAccess 模块的 ActionResourceProvider 和 DynamicAuthorizeFilter

GitHub源码链接:

https://github.com/MingsonZheng/dotnetnb.security

 

郑子铭
关注
专栏目录
.NET 云原生架构师训练营权限系统 代码重构)--学习笔记
MINGSON666的博客
02-21 435
目录 模块拆分 代码重构 模块拆分 代码重构 AuthenticationController PermissionController IAuthorizationMiddlewareResultHandler ISaveChangesInterceptor AuthenticationController 新增 AuthenticationController 用于登录和注册;登录会颁发 jwt token,包含用户的 claims 和 role 的 claims 登录 [Ht
.NET 云原生架构师训练营系统架构)--学习笔记
MINGSON666的博客
12-21 1010
目录 对外展现的功能 内部功能 功能交互与价值通路 系统架构 目标 认识系统的价值通路 认识功能架构,通过把功能结构与形式结构结合来描述系统架构 受益原则 好的架构必须使人受益,要想把架构做好,就要专注于功能的涌现,使得系统把它的主要功能通过跨越系统边界的接口对外展示出来 对外展现的功能 ASP .NET Core 的使用者是程序员,最终的受益是老板 上一讲对 ASP .NET Core 的描述是文字性描述,是一种非结构性描述,不是很准确,因为每个人对文字的理解都不一样 ASP .
.netcore入门13:aspnetcore源码之如何在程序启动时将Controller里的Action自动扫描封装成Endpoint
火焰
02-27 3365
一、mvc怎样将当前程序集的Controller找到并缓存起来的(webapi项目为例) 1.首先我们在ConfigureServices方法中写上services.AddControllers() ; 2.然后代码执行MvcServiceCollectionExtensions.cs namespace Microsoft.Extensions.DependencyInjection { ...
在ASPNETCORE中获得所有Action
weixin_34195142的博客
04-16 953
在ASPNETCORE中获得所有Action 本文旨在记录自己在aspnetcore工作中需要获取所有Action,在查询了资料后进行了几种方法的记录。后期有发现其它方式再进行追加。 一、通过 反射 查看 (该方法过于常见,此处略) 二、通过 ApplicationPartManager 查看 通过构造函数注入ApplicationPartManager; 通过 PopulateFeature(...
.NET 云原生架构师训练营权限系统 系统演示 ActionAccess)--学习笔记
MINGSON666的博客
02-22 336
目录 模块拆分 环境配置 默认用户 ActionAccess 模块拆分 环境配置 mysql migration mysql docker pull mysql docker run -p 3306:3306 --name mysql -e MYSQL_ROOT_PASSWORD=root@dotnetnb666 -d mysql name:容器名,此处命名为mysql e:配置信息,此处配置mysql的root用户的登陆密码 p:端口映射,此处映射 主机3306端口 到 容器
.NET 云原生架构师训练营(责任链模式)--学习笔记
MINGSON666的博客
01-05 446
目录 责任链模式 源码 责任链模式 职责链上的处理者负责处理请求,客户只需要将请求发送到职责链上即可,无需关心请求的处理细节和请求的传递,所以职责链将请求的发送者和请求的处理者解耦了 何时使用:在处理消息的时候以过滤很多道 使用场景: 有多个对象可以处理同一个请求,具体到哪个对象处理该请求由运行时刻自动确定 在不明确指定接收者的情况下,向多个对象中的一个提交一个请求 可动态指定一组对象处理请求 源码 GitHub - dotnet/aspnetcore: ASP.NET Core
.NET 云原生架构师训练营权限系统 RGCA 架构设计)--学习笔记
www_xuhss_com的博客
01-20 213
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录 项目核心内容 实战目标 RGCA 四步架构法 项目核心内容 无代码埋点实现对所有 API Action 访问控制管理 对 EF Core 实体新增、删除、字段级读写控制管理 与 Identity 进行融合集成 实战目标 RGCA 四步架构法的应用 加深对 OPM
.NET 云原生架构师训练营权限系统 代码实现 EntityAccess)--学习笔记
MINGSON666的博客
02-16 452
目录 开发任务 代码实现 开发任务 DotNetNB.Security.Core:定义 core,models,Istore;实现 default memory store DotNetNB.Security.EntityAccess:扫描 entities;添加 ef savechanges interceptor 代码实现 我们现在已经通过 ActionResourceProvider 完成了 action 的扫描,生成了 ResourceModel,需要持久化到 IResourceSto
.NET 云原生架构师训练营(Identity Server)--学习笔记
MINGSON666的博客
07-02 256
目录 OAuth 2.0 OpenID Connect QuickStart OAuth 2.0 概念 过程 通信 组件 示例代码 概念 OAuth 2.0 是一个授权协议,它允许软件应用代表(而不是充当)资源拥有者去访问资源拥有者的资源(如何让一个系统组件获取另一个系统组件的访问权限) 受保护的资源:是资源拥有者有权限访问的组件 资源拥有者:有权访问 API,并能将 API 访问权限委托出去 客户端:凡是使用了受保护资源上的 API,都是客户端 过程 通信
.NET 云原生架构师训练营(模块一 架构师云原生)--学习笔记
MINGSON666的博客
10-12 2080
目录 什么是软件架构 软件架构的基本思路 单体向分布式演进、云原生、技术中台 1.1 什么是软件架构 1.1.1 什么是架构? Software architecture = {Elements, Forms, Rationale/Constraints} 元素、形式/模式、基本原理和限制 为什么需要软件架构? 软件架构的终极目标是用最小的人力成本来满足构建和维护系统的需求 一个软件架构的优劣,可以用它满足用户需求的成本来衡量。如果该成本很低,并且在系统的整个生命周期内一直都维持这样的低成本,那么这个系
Go语言核心36讲(Go语言实战与应用二十七)--学习笔记
MINGSON666的博客
12-22 663
49 | 程序性能分析基础(下) 在上一篇文章中,我们围绕着“怎样让程序对 CPU 概要信息进行采样”这一问题进行了探讨,今天,我们再来一起看看它的拓展问题。 知识扩展 问题 1:怎样设定内存概要信息的采样频率? 针对内存概要信息的采样会按照一定比例收集 Go 程序在运行期间的堆内存使用情况。设定内存概要信息采样频率的方法很简单,只要为runtime.MemProfileRate变量赋值即可。 这个变量的含义是,平均每分配多少个字节,就对堆内存的使用情况进行一次采样。如果把该变量的值设为0,那么,
.NET 云原生架构师训练营(对象过程建模)--学习笔记
MINGSON666的博客
12-23 636
目录 UML OPM OPM优化 UML 1997年发布UML标准 主要域 视图 图 主要概念 结构 静态视图 类图 类、关联、泛化、依赖关系、实现、接口 用例视图 用例图 用例、参与者、关联、扩展、包括、用例泛化 实现视图 构件图 构件、接口、依赖关系、实现 部署视图 部署图 节点、构件、依赖关系、位置 动态 状态机视图 状态机图 状态、事件、转换、动作 活动视图 活动图
.NET 云原生架构师训练营(组合模式)--学习笔记
MINGSON666的博客
01-06 591
目录 引入 组合模式 源码 引入 在上一篇执行 _connectionDelegate 之后,HttpConnectionMiddleware 处理请求 return connection.ProcessRequestsAsync(_application); 在 HttpConnection 中调用 IRequestProcessor 的 ProcessRequestsAsync 方法 await requestProcessor.ProcessRequestsAsync(httpAp
.NET 云原生架构师训练营(模板方法 && 建造者)--学习笔记
MINGSON666的博客
01-07 582
目录 模板方法 源码 建造者 模板方法 定义一个操作中的算法的骨架,而将一些步骤延迟到子类中,使得子类可以不改变一个算法的结构即可重定义该算法的某些特定步骤 源码 GitHub - dotnet/aspnetcore: ASP.NET Core is a cross-platform .NET framework for building modern cloud-based web applications on Windows, Mac, or Linux. 在目录 aspnetcore\
.NET 云原生架构师训练营(设计原则&&设计模式)--学习笔记
MINGSON666的博客
01-04 564
目录 设计原则 设计模式 设计原则 DRY (Don't repeat yourself 不要重复) KISS (Keep it stupid simple 简单到傻子都能看懂) YAGNI (You Aren't Gonna Need It 你不会需要它的) CCP 共同闭包 CRP 共同复用 高内聚、低耦合 惯例优先配置 SCO 关注点分离 ADP 无依赖环 SOLID 面向对象设计原则 SOLID S - Single-responsiblity Principle 单一职责
.NET 云原生架构师训练营(KestrelServer源码分析)--学习笔记
MINGSON666的博客
01-17 479
目录 目标 源码 目标 理解 KestrelServer 如何接收网络请求,网络请求如何转换成 http request context(C# 可识别) 源码 https://github.com/dotnet/aspnetcore/ 在目录 aspnetcore\src\Servers\Kestrel\Core\src\Internal 下有一个 KestrelServerImpl internal class KestrelServerImpl : IServer 在 host 启动
.NET 云原生架构师训练营(ASP .NET Core 整体概念推演)--学习笔记
MINGSON666的博客
12-30 468
演化与完善整体概念 ASP .NET Core 整体概念推演 整体概念推演到具体的形式 ASP .NET Core 整体概念推演 ASP .NET Core 其实就是通过 web framework 处理 HTTP 请求并提供 HTTP 响应 web framework 由程序员使用,它包括 ASP .NET Core,Express,spring 等等组成 这样我们就完成了对 ASP .NET Core 的底层建模,接下来对 HTTP 请求和 HTTP 响应进行细化 对于原始 HTTP
.NET 云原生架构师训练营权限系统 代码实现 WebApplication)--学习笔记
MINGSON666的博客
02-20 428
目录 开发任务 代码实现 开发任务 DotNetNB.Security.Core:定义 core,models,Istore;实现 default memory store DotNetNB.WebApplication:创建 ResourceController 和 PermissionController 进行验证 代码实现 ResourceController PermissionController ResourceController 创建 ResourceController,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值