前言

角色授权机制是确保应用程序安全性的重要组成部分,它允许开发者根据用户的角色来限制对应用程序中不同资源的访问。

基本概念:

角色授权基于用户角色的访问控制,即根据用户所属的角色来决定其能够访问的资源或执行的操作。在.NET Core中,这通常与身份认证(Authentication)一起使用,以确保只有经过验证的用户才能被授权访问特定资源。

案例

在上一篇blog 中,我们完成了对.net Core项目添加了JWT签名的生成与校验,这里,我们基于上一篇blog中演示的代码中进行改进,在jwt中添加Role信息。

c# .net core项目中使用JWT进行权限校验


 角色枚举

首先,我们新建一个枚举AuthorizeRoleName,用于表示不同的角色 。

public enum AuthorizeRoleName
{
    Administrator,  
    Editor,  
    Viewer  
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

 用户信息增加角色

然后在UserRes中添加一个新的属性RoleName,用于填写用户角色。

public class UserRes
{
    /// <summary>
    /// 用户名
    /// </summary>
    [Required]
    public string Name { get; set; }

    /// <summary>
    /// 密码
    /// </summary>
    [Required]
    public string Password { get; set; }

    /// <summary>
    /// 用户角色
    /// </summary>
    [Required]
    public AuthorizeRoleName RoleName { get; set; }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.

再在生成token的时候往claims中加入 

new Claim("RoleName",user.RoleName.ToString()),
  • 1.

c# .net core项目角色授权机制_.net

这样,我们调用GetToken接口时就可以设置角色,并存储到token中。

 

c# .net core项目角色授权机制_角色授权_02

我们来进行测试一下,将接口获取到的token放到在线解析工具 JSON Web Tokens - jwt.io中解析一下,可以看到已经有RoleeName的信息了。

c# .net core项目角色授权机制_Authorization_03

c# .net core项目角色授权机制_Authorization_04

增加AdminAuthorizeAttribute类

  • 用途:这是一个自定义的属性(Attribute),继承自TypeFilterAttribute。它允许开发者通过在其上指定AuthorizeRoleName枚举值,来标记哪些类或方法需要特定的角色授权。
  • 构造函数:接收一个AuthorizeRoleName枚举类型的参数role,该参数用于指定允许访问的角色。在构造函数中,它调用了基类TypeFilterAttribute的构造函数,并传入了AdminAuthorizeFilter类型的实例,同时将role作为参数传递给AdminAuthorizeFilter
  • 特性:通过AttributeUsage特性指定了这个自定义属性可以应用于类(Class)或方法(Method),并且允许多次应用(AllowMultiple = true),还可以被子类继承(Inherited = true)。
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class AdminAuthorizeAttribute : TypeFilterAttribute
{
    public AuthorizeRoleName Role { get; }

    public AdminAuthorizeAttribute(AuthorizeRoleName role) : base(typeof(AdminAuthorizeFilter))
    {
        Role = role;
        Arguments = new object[] { role };
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.

:base(typeof(AdminAuthorizeFilter)): 这是构造函数的初始化器(Constructor Initializer),它调用了基类TypeFilterAttribute的构造函数,并传递了一个参数typeof(AdminAuthorizeFilter)。typeof(AdminAuthorizeFilter)是一个Type对象,它表示AdminAuthorizeFilter类的类型信息。这里,它告诉TypeFilterAttribute,当这个自定义属性被应用时,应该使用AdminAuthorizeFilter类作为过滤器。

增加AdminAuthorizeFilter类 

  • 接口实现:实现了IAuthorizationFilter接口,这意味着它将在MVC或Razor Pages的授权流程中被调用。
  • 构造函数:接收一个AuthorizeRoleName枚举类型的参数role,这个参数是通过AdminAuthorizeAttribute传递过来的,用于指定允许访问的角色。
  • OnAuthorization方法:这是授权逻辑的核心。首先,它检查用户是否已认证(即是否已经登录)。如果用户未认证,则返回一个ChallengeResult,这通常会导致用户被重定向到登录页面。如果用户已认证,则通过调用GetCurrentUserRole方法获取用户的角色,并与允许的角色进行比较。如果用户角色不匹配,则返回一个ForbidResult,这通常表示用户没有权限访问该资源,并返回403 Forbidden状态码。
  • GetCurrentUserRole方法:这是一个辅助方法,用于从HttpContext中提取用户的角色信息。它查找用户声明(Claims)中类型为"RoleName"的声明,并将其值尝试转换为AuthorizeRoleName枚举类型。如果转换成功,则返回该枚举值;如果失败或找不到角色声明,则抛出异常。
public class AdminAuthorizeFilter : IAuthorizationFilter
{
    private readonly AuthorizeRoleName _role;

    public AdminAuthorizeFilter(AuthorizeRoleName role)
    {
        _role = role;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        // 检查用户是否已认证  
        if (!context.HttpContext.User.Identity.IsAuthenticated)
        {
            context.Result = new ChallengeResult();
            return;
        }

        // 检查用户是否属于指定的角色通,常涉及到检查用户的Claims或其他安全令牌中的信息  
        // 我们有一个方法GetCurrentUserRole()来获取当前用户的角色  
        var userRole = GetCurrentUserRole(context.HttpContext); 

        if (userRole != _role)
        {
            context.Result = new ForbidResult(); // 或者返回403 Forbidden,取决于你的需求  
        }
    }

    // 
    private AuthorizeRoleName GetCurrentUserRole(HttpContext context)
    {
        var user = context.User;
        var roleClaim = user.Claims.FirstOrDefault(c => c.Type == "RoleName");

        if (roleClaim != null)
        {
            // 将 Claim 的 Value 转换为 AuthorizeRoleName 枚举  
            // 这里需要实现一个转换逻辑,因为 Claim 的 Value 是字符串   
            if (Enum.TryParse<AuthorizeRoleName>(roleClaim.Value, true, out var role))
            {
                return role;
            }

            throw new InvalidOperationException("无法确定用户的角色!");
        }

        throw new InvalidOperationException("角色信息为空!");
    }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.

调整获取用户信息接口

在之前的GetUser接口上增加属性标签

[AdminAuthorize(AuthorizeRoleName.Administrator)]
  • 1.

表示只有role为 Administrator 的角色才能访问此接口。

c# .net core项目角色授权机制_.net_05

 测试一下!

当GetToken时设置Role为0,即(Administrator )时,获得的token去访问GetUser时是可以的。

c# .net core项目角色授权机制_.net_06

设置为其他时,则断点会进入这里,接口返回403

c# .net core项目角色授权机制_.net_07

c# .net core项目角色授权机制_构造函数_08

项目代码

该项目的案例源代码我已经上传至gitee,需要的可自取

 AuthenticationAndAuthorization: .net Core Web Api的Token生成,JWT签名,验证与授权 (gitee.com)

c# .net core项目角色授权机制_角色授权_09

 https://gitee.com/libihao520/authentication-and-authorization