Asp.net core IdentityServer4与传统基于角色的权限系统的集成

于 2022-02-26 23:08:49 发布
阅读量658 收藏 1
点赞数
分类专栏: 架构及框架 ASP.NET CORE 文章标签: Asp.net core IdentityServer4
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654088087&idx=5&sn=5253df5bc097c337b7acbf73668d9568&chksm=80d80fc2b7af86d47ece3acbd24275c2efcf5afb5d1c7b78b146cace5c85da844b8034c8a123&mpshare=1&scene=23&srcid=0226yOWcUChJ1tZM6WsFsSly&sharer_sharetim
版权

目录

写在前面

开始之前

实现思路

开始实现

服务端

1、生成自定义token

客户端

1、自定义授权标签CustomRBACAuthorize

2、自定义授权 IAuthorizationRequirement

3、自定义IAuthorizationPolicyProvider

4、自定义Requirement的的 AuthorizationHandler

5、注册自定义授权处理程序

6、在接口上使用自定义授权标签CustomRBACAuthorize

7、测试结果

管理员1001 角色id R01  Alice

普通用户1002 角色id R02  Bob

总结

源码

参考

写在前面

因为最近在忙别的,好久没水文了 今天来水一篇;

在学习或者做权限系统技术选型的过程中,经常有朋友有这样的疑问 :

“IdentityServer4的能不能做到与传统基于角色的权限系统集成呢?”

“我的公司有几百个接口,IdentityServer4能不能做到关联用户,给这些用户授予不同的接口的权限呢?”

我的回答是,是的,可以!

同时,我还想补充下,IdentityServer4是给我们的授权流程/需求提供一个新的 标准化的选择,而不是限制你的需求;它是一个基础的框架,你可以根据你的需求自定义成任意你要的样子。

OK,下面开始说说我的实现思路,不一定最优只为抛砖引玉。

开始之前

先准备好两个WebApi 项目,分别有两个接口

Hei.UserApi:6001

GetUsername: https://localhost:6001/api/profile/getusername

GetScore:https://localhost:6001/api/Credit/GetScore //用户信用分要求高,期望管理员才可以调用

Hei.OrderApi:6002

GetOrderNo:https://localhost:6002/api/Order/GetOrderNo

GetAddress:https://localhost:6002/api/Delivery/GetAddress //用户地址敏感,期望管理员才可以调用

实现请看源码

准备好两个角色:

R01 管理员

R02 普通用户

准备好两个用户

Bob: subid=1001,普通用户

Alice: subid=1002,管理员

实际用户有多个角色的,本文为了简化问题,一个用户只允许一种角色

角色对应的权限

管理员:可以调用 Hei.UserApiHei.OrderApi的所有接口;

普通用户:只可以调用 Hei.UserApi->GetUsername,和Hei.OrderApi->GetOrderNo;

实现思路

先来看晓晨大佬画的 access_token 验证交互过程图:

img

image-20220223112832900

可以看到,Token在首次被服务端验证后,后续的验证都在客户端验证的,本文的重点就在这里,需要判断token有没有权限,重写这部分即可;

开始实现

服务端

1、生成自定义token

1、 IdentityServer4 服务端重写IResourceOwnerPasswordValidator 和 IProfileService 两个接口生成携带有自定义信息的access_token

public class CustomResourceOwnerPasswordValidator : IResourceOwnerPasswordValidator
{
    public CustomResourceOwnerPasswordValidator()
    {
    }

    public Task ValidateAsync(ResourceOwnerPasswordValidationContext context)
    {
        if (!string.IsNullOrEmpty(context.UserName) && !string.IsNullOrEmpty(context.Password))
        {
            var loginUser = UserService.Users.First(c => c.Username == context.UserName && c.Password == context.Password);

            if (loginUser != null)
            {
                context.Result = new GrantValidationResult(loginUser.SubjectId, OidcConstants.AuthenticationMethods.Password, new Claim[]{new Claim("my_phone","10086")}); //这里增加自定义信息
                return Task.CompletedTask;
            }
        }
        return Task.CompletedTask;
    }
}

StartUp.cs 启用

builder.AddResourceOwnerValidator<CustomResourceOwnerPasswordValidator>();
builder.AddProfileService<CustomProfileService>();

2、请求一个token来看看:

image-20220223115450490

image-20220223115310375

可以看到我这里token携带有了自定义信息 my_phone,同样的,你可以把角色id直接放这里,或者直接跟用户的subid关联(本demo就是);

客户端

1、自定义授权标签CustomRBACAuthorize

    public class CustomRBACAuthorizeAttribute : AuthorizeAttribute
    {
        public CustomRBACAuthorizeAttribute(string policyName="")
        {
            this.PolicyName = policyName;
        }

        public string PolicyName
        {
            get
            {
                return PolicyName;
            }
            set
            {
                Policy = $"{Const.PolicyCombineIdentityServer4ExternalRBAC}{value.ToString()}";
            }
        }
    }

后面接口打这个标签就表示使用基于自定义的与权限校验

2、自定义授权 IAuthorizationRequirement

   public class CustomRBACRequirement: IAuthorizationRequirement
    {
        public string PolicyName { get; }

        public CustomRBACRequirement(string policyName)
        {
            this.PolicyName = policyName;
        }
    }

3、自定义IAuthorizationPolicyProvider

public class CustomRBACPolicyProvider : IAuthorizationPolicyProvider
    {
        private readonly IConfiguration _configuration;
        public DefaultAuthorizationPolicyProvider FallbackPolicyProvider { get; }

        public CustomRBACPolicyProvider(IConfiguration configuration, IOptions<AuthorizationOptions> options)
        {
            _configuration = configuration;
            FallbackPolicyProvider = new DefaultAuthorizationPolicyProvider(options);
        }


        public Task<AuthorizationPolicy> GetDefaultPolicyAsync()
        {
            return FallbackPolicyProvider.GetDefaultPolicyAsync();
        }

        public Task<AuthorizationPolicy> GetFallbackPolicyAsync()
        {
            return Task.FromResult<AuthorizationPolicy>(null);
        }

        public Task<AuthorizationPolicy> GetPolicyAsync(string policyName)
        {
            if (policyName.StartsWith(Const.PolicyCombineIdentityServer4ExternalRBAC, StringComparison.OrdinalIgnoreCase))
            {
                var policys = new AuthorizationPolicyBuilder();
                //这里使用自定义Requirement
                policys.AddRequirements(new CustomRBACRequirement(policyName.Replace(Const.PolicyCombineIdentityServer4ExternalRBAC,"")));
                return Task.FromResult(policys.Build());
            }

            return Task.FromResult<AuthorizationPolicy>(null);

        }
      }  

4、自定义Requirement的的 AuthorizationHandler

/// <summary>
/// 处理CustomRBACRequirement的逻辑
/// </summary>
/// <param name="context"></param>
/// <param name="requirement"></param>
/// <returns></returns>
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomRBACRequirement requirement)
{
    var subid = context.User?.FindFirst(ClaimTypes.NameIdentifier)?.Value;
    var routeData = _httpContextAccessor.HttpContext?.GetRouteData();

    var curentAction = routeData?.Values["action"]?.ToString();
    var curentController = routeData?.Values["controller"]?.ToString();

    //入口程序集,用来标识某个api
    var apiName = Assembly.GetEntryAssembly().GetName().Name;

    if (string.IsNullOrWhiteSpace(subid) == false && string.IsNullOrWhiteSpace(curentAction) == false && string.IsNullOrWhiteSpace(curentController) == false)
    {
        //核心就在这里了,查出用户subid对应的角色权限,然后做处理判断有没有当前接口的权限
        //我这里是demo就简单的模拟下,真实的权限数据应该都是写数据库或接口的
        var userPermission = PermissionService.GetUserPermissionBySubid(apiName, subid);
        if (userPermission != null && userPermission.Authorised.ContainsKey(curentController))
        {                    
            var authActions = userPermission.Authorised[curentController];
                    
            //这里判断当前用户的角色有当前action/controllers的权限
            //(真实的权限划分由你自己定义,比如你划分了只读接口,只写接口、特殊权限接口、内部接口等,在管理后台上分组,打标签/标记然后授予角色就行)
            if (authActions?.Any(action => action == curentAction) == true)
            {
                context.Succeed(requirement);
            }
        }
    }

    return Task.CompletedTask;
}

jwt 的token本来是去中心化的,现在这样一来,每次请求进来都去调接口验证可以说是违背了去中心化的思想,所以保证性能问题得自己解决;

权限数据

public class PermissionService
{
    /// <summary>
    /// 权限信息(实际上这些应该存在数据库)
    /// </summary>
    public static List<PermissionEntity> Permissions = new List<PermissionEntity>
    {
        //RoleId R01 是管理员,有两个Api的多个接口的权限
        new PermissionEntity{ PermissionId="0001",RoleId="R01", ApiName="Hei.UserApi",Authorised=new Dictionary<string, List<string>>
            {
                { "Profile",new List<string>{ "GetUsername"}},
                { "Credit",new List<string>{ "GetScore"}},
            }
        },
        new PermissionEntity{ PermissionId="0002",RoleId="R01", ApiName="Hei.OrderApi",Authorised=new Dictionary<string, List<string>>
            {
                { "Delivery",new List<string>{ "GetAddress"}},
                { "Order",new List<string>{ "GetOrderNo"}},
            }
        },

        //RoleId R02 是普通员工,有两个Api的多个 部分 接口的权限
        new PermissionEntity{ PermissionId="0001",RoleId="R02", ApiName="Hei.UserApi",Authorised=new Dictionary<string, List<string>>
            {
                { "Profile",new List<string>{ "GetUsername"}},
                //{ "Credit",new List<string>{ "GetScore"}}, //用户信用分接口权限就不给普通员工了
            }
        },
        new PermissionEntity{ PermissionId="0002",RoleId="R02", ApiName="Hei.OrderApi",Authorised=new Dictionary<string, List<string>>
            {
                //{ "Delivery",new List<string>{ "GetAddress"}}, //用户地址信息也是
                { "Order",new List<string>{ "GetOrderNo"}},
            }
        }
    };

当然这些数据一般都是根据你的权限需求存数据库的,与你的权限管理后台相配合;

5、注册自定义授权处理程序

     /// <summary>
        /// 提交自定义角色的授权策略
        /// </summary>
        /// <param name="services"></param>
        /// <returns></returns>
        public static IServiceCollection AddCustomRBACAuthorizationPolicy(this IServiceCollection services)
        {
            services.AddSingleton<IHttpContextAccessor, HttpContextAccessor>();
            services.AddSingleton<IAuthorizationPolicyProvider, CustomRBACPolicyProvider>();
            services.AddSingleton<IAuthorizationHandler, CustomRBACRequirementHandler>();

            return services;
        }

6、在接口上使用自定义授权标签CustomRBACAuthorize

    [Route("api/[controller]/[action]")]
    [ApiController]
    public class CreditController : ControllerBase
    {
        /// <summary>
        /// 获取信用分
        /// </summary>
        /// <param name="id"></param>
        /// <returns></returns>
        [HttpGet]
        [CustomRBACAuthorize] //这里就表名
        public int GetScore(string id)
        {
            return 666;
        }
    }

7、测试结果

管理员1001 角色id R01  Alice

image-20220223151041196

请求:

image-20220223152252049

可以看到都是 200

普通用户1002 角色id R02  Bob

image-20220223151144846

请求:

image-20220223152233656

可以看到获取用户信用积分、订单投递地址的接口403了,与我们全面的设定相符;

总结

就是一个简单的思路

1、给access_token 带上自定义信息;

2、在客户端重写本地验证/权限校验逻辑即可;

其实token黑白名单,token撤销原理类似 希望能帮上一点小忙;

IdentityServer4就是一个工具,希望大家不要给它设定太多的限制“不能做这个,不能做那个等等”

源码

https://github.com/gebiWangshushu/cnblogs-demos/tree/dev/IdentityServerWithRBAC.Example

如果能有个小星星那就再好不过了(✧◡✧)

参考

https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/iauthorizationpolicyprovider?view=aspnetcore-3.1#multiple-authorization-policy-providers

https://www.cnblogs.com/stulzq/p/9226059.html

寒冰屋
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.net Core IdentityServer4 Server
11-04
.net Core IdentityServer4 Server 实现,使用SQL作为数据存储
AspNetCoreIdentityServer4ResourceOwnerPassword:ASP.NET Core IdentityServer4资源所有者流刷新令牌和自定义用户存储库
05-28
具有自定义UserRepository的ASP.NET Core IdentityServer4 ResourceOwnerPassword 建造.NET核心,ASP.NET核心历史2020-10-23更新为.IdentityServer4,nuget软件包,npm软件包2020-01-10更新到.NET Core 3.1 2019-09-...
ASP.NET Core的身份认证框架IdentityServer4--入门【转】
weixin_30521161的博客
08-10 714
原文地址 Identity Server 4是IdentityServer最新版本,它是流行的OpenID Connect和OAuth Framework for .NET,为ASP.NET Core和.NET Core进行了更新和重新设计。在本文中,我们将快速了解IdentityServer 4存在的原因,然后直接进入并创建一个从零到英雄的工作实现。 IdentityServer 3与Id...
.NET Core IdentityServer4实战 第一章-入门与API添加客户端凭据
qq_39110534的博客
01-26 939
.NET Core IdentityServer4实战 第一章-入门与API添加客户端凭据 内容:本文带大家使用IdentityServer4进行对API授权保护的基本策略 作者:zara(张子浩) 欢迎分享,但需在文章鲜明处留下原文地址。   本文将要讲述如何使用IdentityServer4对API授权保护以及如何携带Token...
.NET Core集成Identityserver4
qq_36819973的博客
09-28 1615
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、IdentityServer4是什么?二、使用步骤1.1.创建一个认证服务项目,命名IdentityServer2.引入IdentityServer4库 版本3.1.43.创建一个Config配置类4.定义一个api5.定义客户端6.添加用户7.配置Identityserver8.整个Config代码9.启动,运行10.通过postman进行测试总结 一、IdentityServer4是什么? IdentityServer4
asp.net core IdentityServer4 概述
09-26 180
概览 现代应用程序看上去大都是这样的: 最常见的交互是: 浏览器与Web应用程序通信 Web应用程序与Web API通信(有时是独立的,有时是代表用户的) 基于浏览器的应用程序与Web API通信 本机应用程序与Web API通信 基于服务器的应用程序与Web API通信 Web API与Web API通信(有时是独立的,有时是代表用户的) 通常,每一层(前端,中间层和后端)都...
Asp.Net CoreIdentityServer4 授权中心之应用实战
Jlion 技术博客
03-11 2264
一、前言 查阅了大多数相关资料,查阅到的IdentityServer4 的相关文章大多是比较简单并且多是翻译官网的文档编写的,我这里在 Asp.Net CoreIdentityServer4 的应用分析中会以一个电商系统架构升级过程中普遍会遇到的场景进行实战性讲述分析,同时最后会把我的实战性的代码放到github 上,敬请大家关注! 这里就直接开始撸代码,概念性东西就已经不概述了,想要了解概念...
ASP.NET编程知识】基于.net4.0实现IdentityServer4客户端JWT解密.docx
05-21
ASP.NET编程知识】基于.net4.0实现IdentityServer4客户端JWT解密.docx
ASP.NET Core3.0版 权限管理系统源码
03-12
角色管理:角色菜单权限分配,角色对应权限,员工属于某个角色 菜单管理:配置系统菜单,操作权限,按钮权限标识 通用字典:系统里动态改变的数据,用字典进行维护,不变的数据,可以用枚举 行政区划:全国的...
ASP.NET Core 3接入使用IdentityServer4 授权中心
06-04
代码包含三部分, 1.IdentityServer4 授权中心 2.API服务提供者 3.第三方ClientCredential调用者
IdentityServer4实现.Net Core API接口权限认证(快速入门)
10-15
主要介绍了IdentityServer4实现.Net Core API接口权限认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
IdentityServer:基于identityserver4的统一登录认证,后台权限管理
04-06
身份服务器
ASP.NET MVC通用角色权限管理系统
08-18
asp.net mvc 通用权限管理系统(响应布局)源码是基于asp.net(C#)MVC+前端bootstrap+ztree+lodash+jquery技术,采用bootstrap为前台开发展示UI,Web Api主要负责前端的逻辑交互,再结合jQuery Ajax+Web Api进行
IdentityServer4-Demo:Asp.Net Core 2.2使用IdentityServer4的用户名密码模式保护资源服务器的原型
03-23
IdentityServer4-Demo Asp.Net Core 2.2使用IdentityServer4的用户名密码模式保护资源服务器的原型。
毕业设计:基于ASP.NET mvc2.0+Layui 权限管理系统.zip
最新发布
10-11
计算机毕设源码
带有.NET Core App的Identity Server 4
寒冰屋的专栏
11-25 466
什么是Identity ServerIdentity Server 4(IdS4)是用于.NET Core应用程序的OpenID Connect和OAuth 2.0框架。它是一种身份验证服务,可为您提供针对不同类型的应用程序(Web、移动或服务)的集中式身份验证逻辑。 在ASP.NET Core Web App中实现IdS4 首先,您需要使用以下命令创建一个空的ASP.NET Core Web应用程序: dotnet new web 或者,您可以通过使用空模板选择ASP.NET Co...
(精华)2020年11月21日 .NET Core 配置IdentityServer4
热门推荐
时光隧道
11-21 21万+
一:初识IdentityServer4 1:添加nuget包:IdentityServer4 2:添加Config.cs文件作为IdentityServer配置文件,用于定义IdentityServer资源和客户端等。 public class Config { public static IEnumerable<ApiScope> ApiScopes => new List<ApiScope> { new ApiS
Asp.Net Core 中使用身份验证框架 IdentityServer4教程
八步赶蝉
06-11 2026
https://www.cnblogs.com/liumengchen-boke/p/8337065.html 一些总结: 学习圈子项目swagger框架利用过滤器添加自定义身份验证token请求头参数Authorization,通过IdentityServer4框架产生的token令牌可通过该参数传入接口进行身份验证授权。 学习IdentityServer4框架产生身份token令牌...
.net Core IdentityServer4实例
qq_31835601的博客
08-18 392
@[TOC](.net Core IdentityServer4(4.1.2版本)实战) VS2019 .NET5.0 新建IdentityServer4项目 1.新建ASP.NET Core Web应用项目,选择.net5.0,命名MyIdentityServer 2.引用gutnet包:IdentityServer4(4.1.2),IdentityServer4.AspNetIdentity(4.1.2),Microsoft.AspNetCore.Authentication.JwtBearer(5.0
基于 ASP.NET Core MVC 的固定资产管理系统设计与实现
06-08
好的,我会尽力回答你的问题。基于 ASP.NET Core MVC 的固定资产管理系统可以分为以下几个部分的设计和实现: 1. 数据库设计:需要设计数据库表,包括资产信息表、领用信息表、报废信息表等。其中资产信息表需要包含资产名称、规格型号、使用部门、使用人员等字段;领用信息表需要包含领用人员、领用时间、资产编号等字段;报废信息表需要包含报废原因、报废时间、资产编号等字段。 2. 后台业务逻辑:需要实现资产的增删改查、领用、归还、报废等业务逻辑。同时需要实现权限管理,确保只有授权人员才能进行相关操作。 3. 前端页面设计:需要设计资产列表页面、领用页面、报废页面等。其中资产列表页面需要展示资产的基本信息,包括名称、规格、使用部门等;领用页面需要实现资产的领用操作,包括选择领用的资产、填写领用人员等信息;报废页面需要实现资产的报废操作,包括选择报废的资产、填写报废原因等信息。 4. 数据可视化:需要实现数据可视化功能,包括资产使用情况图表、资产领用情况图表等。这些图表可以帮助管理员更好地了解资产的使用情况,及时进行调整和管理。 以上就是基于 ASP.NET Core MVC 的固定资产管理系统的设计与实现的主要内容。如果您有更具体的问题或需求,欢迎随时与我交流。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值