ASP.NET Core 认证与授权[7]:动态授权

最新推荐文章于 2024-06-06 11:40:27 发布
最新推荐文章于 2024-06-06 11:40:27 发布
阅读量3.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sD7O95O/article/details/78653966
版权

基于资源的授权

有些场景下,授权需要依赖于要访问的资源,例如:每个资源通常会有一个创建者属性,我们只允许该资源的创建者才可以对其进行编辑,删除等操作,这就无法通过[Authorize]特性来指定授权了。因为授权过滤器会在我们的应用代码,以及MVC的模型绑定之前执行,无法确定所访问的资源。此时,我们需要使用基于资源的授权,下面就来演示一下具体是如何操作的。

定义资源Requirement

在基于资源的授权中,我们要判断的是用户是否具有针对该资源的某项操作,因此,我们先定义一个代表操作的Requirement

public class MyRequirement : IAuthorizationRequirement{  
  public string Name { get; set; }
}

可以根据实际场景来定义需要的属性,在本示例中,只需要一个Name属性,用来表示针对资源的操作名称(如:增查改删等)。

然后,我们预定义一些常用的操作,方便业务中的调用:

public static class Operations{    
    public static MyRequirement Create = new MyRequirement { Name = "Create" };    

public static MyRequirement Read = new MyRequirement { Name = "Read" };    
public static MyRequirement Update = new MyRequirement { Name = "Update" };  
public static MyRequirement Delete = new MyRequirement { Name = "Delete" };
}

上面定义的 MyRequirement 虽然很简单,但是非常通用,因此,在 ASP.NET Core 中也内置了一个OperationAuthorizationRequirement

public class OperationAuthorizationRequirement : IAuthorizationRequirement{    public string Name { get; set; }
}

在实际应用中,我们可以直接使用OperationAuthorizationRequirement,而不需要再自定义 Requirement,而在这里只是为了方便理解,后续也继续使用 MyRequirement 来演示。

实现资源授权Handler

每一个 Requirement 都需要有一个对应的 Handler,来完成授权逻辑,可以直接让 Requirement 实现IAuthorizationHandler接口,也可以单独定义授权Handler,在这里使用后者。

在本示例中,我们是根据资源的创建者来判断用户是否具有操作权限,因此,我们定义一个资源创建者的接口,而不是直接依赖于具体的资源:

public interface IDocument{    string Creator { get; set; }
}

然后实现我们的授权Handler:

public class DocumentAuthorizationHandler : AuthorizationHandler<OperationAuthorizationRequirement, IDocument>
{    
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, OperationAuthorizationRequirement requirement, IDocument resource)    {        // 如果是Admin角色就直接授权成功
        if (context.User.IsInRole("admin"))
        {
            context.Succeed(requirement);
        }        else
        {            // 允许任何人创建或读取资源
            if (requirement == Operations.Create || requirement == Operations.Read)
            {
                context.Succeed(requirement);
            }           
 else
            {                // 只有资源的创建者才可以修改和删除
                if (context.User.Identity.Name == resource.Creator)
                {
                    context.Succeed(requirement);
                }             
    else
                {
                    context.Fail();
                }
            }
        }        return Task.CompletedTask;
    }
}

在前面章节的《自定义策略》示例中,我们继承的是AuthorizationHandler<NameAuthorizationRequirement>,而这里继承了AuthorizationHandler<OperationAuthorizationRequirement, Document>,很明显,比之前的多了resource参数,以便用来实现基于资源的授权。

如上,我们并没有验证用户是否已登录,以及context.User是否为空等。这是因为在 ASP.NET Core 的默认授权中,已经对这些进行了判断,我们只需要在要授权的控制器上添加

最低0.47元/天 解锁文章
dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Asp.net Core 权限管理系统
03-02
技术路线 Asp.net Core Mvc EntityFrameworkCore Bootstrap AdminLTE PostgreSQL 实现功能 组织机构管理 角色管理 用户管理 功能管理 权限管理
浅谈ASP.NET Core 中jwt授权认证的流程原理
10-15
ASP.NET Core 中的 JWT(JSON Web Tokens)授权认证是一种安全机制,用于验证用户身份并授权访问受保护的API资源。JWT 是一个轻量级的身份验证标准,它允许服务器通过发送一个自包含的令牌来确认用户身份,而不是...
asp.net core策略授权
weixin_30426957的博客
09-06 101
在《asp.net core认证授权》中讲解了固定和自定义角色授权系统权限,其实我们还可以通过其他方式来授权,比如可以通过角色组,用户名,生日等,但这些主要取决于ClaimTypes,其实我们也可以自定义键值来授权,这些统一叫策略授权,其中更强大的是,我们可以自定义授权Handler来达到灵活授权,下面一一展开。 注意:下面的代码只是部分代码,完整代码参照:https://github.com...
asp.net Core 中AuthorizationHandler 实现自定义授权
最新发布
vaevvaev的博客
06-06 97
ASP.NET Core 中 继承的是AuthorizationHandler ,而ASP.NET Framework 中继承的是AuthorizeAttribute.它们都是用过重写里面的方法实现过滤请求的。现在我们实现如何在 ASP.NET Core MVC 实现自定义授权。关于AuthorizationHandler 详细介绍可以看这里比如我们后台有个博客管理功能,那我们可以新建一个Blog的控制器,比如BlogController。
asp.net core 2.0 web api基于JWT自定义策略授权
dotNET跨平台
09-17 2071
JWT(json web token)是一种基于json的身份验证机制,流程如下:     通过登录,来获取Token,再在之后每次请求的Header中追加Authorization为Token的凭据,服务端验证通过即可能获取想要访问的资源。关于JWT的技术,可参考网络上文章,这里不作详细说明, 这篇博文,主要说明在asp.net core 2.0中,基于jwt的web api的权限设置,
ASP.NET Core--基于授权的资源
weixin_30686845的博客
10-20 186
翻译如下:   通常授权取决于正在访问的资源。 例如,文档可以具有作者属性。 将只允许文档作者对其进行更新,因此必须在进行授权评估之前从文档存储库加载资源。 这不能使用Authorize属性来完成,因为属性评估发生在数据绑定之前,以及您自己的代码加载资源之前在一个动作中运行。 而不是声明性授权,属性方法,我们必须使用命令式授权,开发人员在其自己的代码中调用授权函数。 在代码中授权   ...
AuthSamples:Asp.Net Core 认证授权案例
04-06
AuthSamplesAsp.Net Core 认证授权案例ColinChang.MvcSample基于Cookie认证策略基于角色授权基于策略授权认证中间件/过滤器ColinChang.ApiSample基于JWT Bear认证策略基于角色授权基于策略授权认证中间件/过滤器
asp.net core 6 api简单授权认证
07-23
ASP.NET Core 6 API 简单授权认证是构建安全Web API的重要环节,它确保只有经过验证的用户或服务能够访问敏感数据或执行特定操作。在这个框架中,授权是通过策略来实现的,这些策略定义了用户必须满足的条件才能访问...
asp.net core 授权详解
10-15
ASP.NET Core 授权详解 ASP.NET Core 是一个跨平台的高性能框架,用于构建现代云应用程序。在开发过程中,确保应用程序的安全性是至关重要的,而授权实现这一目标的关键部分。授权控制了谁能够访问特定的资源,...
ASP.NET Core学习之使用JWT认证授权详解
12-16
认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统...
asp.net core mvc权限控制:在视图中控制操作权限
08-31
本文主要介绍了asp.net core mvc权限控制:在视图中控制操作权限。具有很好的参考价值,下面跟着小编一起来看下吧
手把手教你AspNetCore WebApi认证授权的方法
12-16
前言 这几天小明又有烦恼了,之前给小红的接口没有做认证授权,直接裸奔在线上,被马老板发现后狠狠的骂了一顿,赶紧让小明把授权加上。赶紧Baidu一下,发现大家都在用JWT认证授权,这个倒是挺适合自己的。 什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 什么是JWT Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧
AspNetCore-Dynamic-Permission:ASP.NET CoreASP.NET MVC 5 中的动态权限示例
08-04
ASP.NET Core 动态权限 ASP.NET CoreASP.NET MVC 5 中的动态权限示例。
PermissionBasedAuth:.NET 5 MVC中基于权限的身份验证
02-10
.NET 5中基于权限的授权 一个小型测试项目,可在.NET 5 MVC中使用基于权限的授权。 我在互联网上的各种文章和帖子中发现了各种想法和实现。 权限在基本级别上起作用。 可以(取消)分配角色的权限,并将角色分配给用户。 使用Cookie 立即将更改应用于用户角色和角色权限-无需用户注销并重新登录以将更改应用于Cookie 使用JWT(单独的API端点) 按用户覆盖权限(?) 运行 在./database进行./database docker-compose up ,以在./database容器中启动Postgres数据库。 使用卷来保留数据。 然后,使用dotnet run运行该应用程序。 转到https://localhost:5001/来浏览该应用程序,并转到来登录并在Adminer中浏览数据库并传递“ postgres”。 产品特点 使用ASP.NET身份用户和角色进
ASP.NET Core认证授权方案
dotNET跨平台
04-25 804
前言在前面我讲过基于token的权限认证,然后前几天有小伙伴私信我,怎么做一个身份认证也就是授权。在Asp.net Core常见的授权方式有:基于角色的授权,有基于声明的授权,有基于策略的授权, 这三种授权我就不做过多介绍了,大家可以去查阅官网, https://docs.microsoft.com/en-us/aspnet/core/security/authoriza...
.net FrameWork WebAPI 如何添加保护接口,授权服务器是.net Core 的IdentityServer4 ,并且对signalr进行保护
张峰的博客
01-24 1800
目前.net FrameWork WebAPI  仅支持到IdentityServer3,但是授权服务器是.net Core 的IdentityServer4 ,这时候对webapi 进行保护可能会出现一些问题,
.Net Core中AuthorizationHandlerContext如何获取当前请求的相关信息
sky 胡萝卜星星
07-29 4601
在.Net Core中要自定义用户身份认证,需要实现IAuthorizationHandler实现的代码也比较简单,一般我们只要实现本地认证AuthorizationHandler<T>.HandleRequirementAsync即可,认证时一般需要用到一些用于判断是否允许访问的认证信息,比如当前的用户信息,比如当前请求的资源信息,这些信息呢,我们都可以通过AuthorizationHandlerContext来获取。 AuthorizationHandlerContext.Resource
ASP.NET Core 中的五种过滤器
长铗归来的博客
10-23 1378
ASP.NET Core 中的五种过滤器 IActionFilter IAuthorizationFilter IExceptionFilter IResourceFilter IResultFilter
使用ASP.NET Core MVC构建云应用:第六版
6. **身份验证和授权**:ASP.NET Core MVC提供了强大的安全特性,包括身份验证(如cookie认证)和授权机制,用于保护应用程序免受未经授权的访问。 7. **中间件**:中间件是ASP.NET Core中的一个核心概念,它是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值