授权断言实现

于 2024-09-29 23:21:41 发布
阅读量839 收藏 20
点赞数 8
分类专栏: .NET6 文章标签: .net c# web 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tianminhjyusaf/article/details/142645799
版权

在 ASP.NET Core 中,授权断言(Authorization Assertion)是通过创建自定义的业务逻辑,用于在身份验证之后进行更细粒度的权限控制。授权断言允许你根据用户的身份和请求的上下文执行复杂的授权逻辑。它们通常与 策略授权(Policy-based Authorization)结合使用,通过定义自定义授权策略和授权处理程序(Authorization Handlers)来进行控制。

授权断言的主要应用场景

授权断言常用于以下场景:

  • 验证用户是否拥有特定的角色或权限。
  • 根据请求的上下文(例如请求参数)做出授权决策。
  • 对资源的访问进行更加细致的控制,例如用户是否有权限修改某个资源。

1. 授权策略和授权断言的核心概念

  • 授权策略(Authorization Policy): 定义哪些要求(如角色、声明等)用户需要满足才能访问某个资源。
  • 授权断言(Authorization Requirement): 表示特定的授权要求,用于自定义权限逻辑。
  • 授权处理程序(Authorization Handler): 负责处理 Authorization Requirement,根据当前用户和上下文来判断是否满足授权要求。

2. 创建自定义的授权断言

步骤 1: 创建 IAuthorizationRequirement

授权断言的核心是实现 IAuthorizationRequirement 接口,定义需要满足的条件。

using Microsoft.AspNetCore.Authorization;

public class MinimumAgeRequirement : IAuthorizationRequirement
{
    public int MinimumAge { get; }

    public MinimumAgeRequirement(int minimumAge)
    {
        MinimumAge = minimumAge;
    }
}

上面的例子中,MinimumAgeRequirement 表示一个要求,即用户的年龄必须超过指定的最小年龄。

步骤 2: 创建授权处理程序

接下来,你需要创建一个授权处理程序(Authorization Handler),来处理这个授权要求。处理程序会根据业务逻辑来判断用户是否满足要求。

using System;
using System.Security.Claims;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authorization;

public class MinimumAgeHandler : AuthorizationHandler<MinimumAgeRequirement>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, MinimumAgeRequirement requirement)
    {
        // 获取用户的出生日期
        if (!context.User.HasClaim(c => c.Type == ClaimTypes.DateOfBirth))
        {
            return Task.CompletedTask;
        }

        var dateOfBirth = Convert.ToDateTime(context.User.FindFirst(c => c.Type == ClaimTypes.DateOfBirth).Value);
        int userAge = DateTime.Today.Year - dateOfBirth.Year;

        if (dateOfBirth > DateTime.Today.AddYears(-userAge))
        {
            userAge--;
        }

        // 如果用户的年龄大于等于要求的最小年龄,授权通过
        if (userAge >= requirement.MinimumAge)
        {
            context.Succeed(requirement);
        }

        return Task.CompletedTask;
    }
}

在这个处理程序中,HandleRequirementAsync 方法负责处理逻辑。首先,它从用户的声明中获取出生日期,然后计算用户的年龄。如果用户的年龄满足要求的最小年龄,则调用 context.Succeed(requirement) 表示授权通过。

步骤 3: 注册自定义授权策略

现在,你需要在 Startup.csProgram.cs 中注册自定义的授权策略以及处理程序。

public void ConfigureServices(IServiceCollection services)
{
    // 添加授权服务,并定义自定义的策略
    services.AddAuthorization(options =>
    {
        options.AddPolicy("AtLeast18", policy =>
            policy.Requirements.Add(new MinimumAgeRequirement(18)));
    });

    // 注册处理程序
    services.AddSingleton<IAuthorizationHandler, MinimumAgeHandler>();
}

在这里,我们定义了一个名为 "AtLeast18" 的策略,该策略要求用户的年龄至少为 18 岁。然后我们将自定义的 MinimumAgeHandler 注册到依赖注入容器中。

步骤 4: 在控制器或操作方法中应用策略

你可以使用 [Authorize] 属性将这个自定义策略应用到控制器或某个具体的操作方法上:

[Authorize(Policy = "AtLeast18")]
[HttpGet]
public IActionResult GetAdultContent()
{
    return Ok("You are old enough to see this content.");
}

只有满足 “AtLeast18” 策略的用户才能访问 GetAdultContent 这个操作方法。

3. 高级应用:基于资源的授权断言

有时,授权不仅仅取决于用户本身,还取决于资源。例如,一个用户是否有权限修改某个文档。这种情况下,可以使用基于资源的授权。

示例:基于资源的授权断言

首先,定义一个资源的授权要求:

public class Document
{
    public string Author { get; set; }
}

public class IsOwnerRequirement : IAuthorizationRequirement
{
}

接着,创建处理程序来处理资源的授权逻辑:

public class IsOwnerHandler : AuthorizationHandler<IsOwnerRequirement, Document>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, IsOwnerRequirement requirement, Document resource)
    {
        if (context.User.Identity?.Name == resource.Author)
        {
            context.Succeed(requirement);
        }

        return Task.CompletedTask;
    }
}

在这个处理程序中,我们根据资源的 Author 属性判断用户是否是该文档的作者,从而决定是否授权成功。

注册资源授权处理程序

同样,你需要在 Startup.csProgram.cs 中注册处理程序:

services.AddSingleton<IAuthorizationHandler, IsOwnerHandler>();
在控制器中使用资源授权

你可以在控制器或服务中手动调用资源授权的逻辑:

[HttpGet]
public async Task<IActionResult> EditDocument(int documentId)
{
    var document = GetDocumentById(documentId); // 从数据库获取文档

    var authorizationResult = await _authorizationService.AuthorizeAsync(User, document, "IsOwner");

    if (!authorizationResult.Succeeded)
    {
        return Forbid();
    }

    return Ok("You are authorized to edit this document.");
}

这里,我们使用了 IAuthorizationService 来手动触发基于资源的授权。AuthorizeAsync 方法接收当前用户、资源以及自定义的策略名称。如果用户被授权,可以继续执行操作,否则返回 Forbid() 响应。

总结

  • 授权断言 用于实现自定义的授权逻辑,通常与策略授权相结合。
  • 可以通过实现 IAuthorizationRequirementAuthorizationHandler 来定义并处理授权要求。
  • 授权策略在 Startup.csProgram.cs 中进行注册,并可以应用到控制器或操作方法中。
  • 基于资源的授权 允许你根据请求资源和用户的关联关系进行更细粒度的权限控制。

通过授权断言,你可以灵活地定制复杂的授权逻辑,以满足不同业务场景的权限需求。

Jmeter接口测试数据库断言实现与设计
Testfan_zhou的博客
12-08 1114
接口测试
聊聊asp.net core 授权流程
虚幻私塾
09-23 862
统一合并到一个策略对象中去,对于未指定具体策略的[Authorize]特性,则采用默认的授权策略(要求用户必须登录认证),同时也把这些特性中指定的认证方案进行统一合并到一个策略对象中去,然后对当前用户对合并后的策略中所包含的认证方案一一进行身份认证,并将身份认证结果进行一一合并,然后就是对合并后的授权策略中的Requirement一一进行检查,如果全部授权通过,并且没有显式调用授权失败的方法,则授权成功。要看授权流程的具体执行逻辑,我们还是要看AuthorizationMiddleware类。
ASP.NET Core 使用 JWT 自定义角色/策略授权需要实现的接口
dotNET跨平台
08-23 1652
目录① 存储角色/用户所能访问的 API② 实现 IAuthorizationRequirement 接口③ 实现 TokenValidationParameters④ ...
Asp .Net Core 系列:详解授权以及实现角色、策略、自定义三种授权和自定义响应
最新发布
程序人生
07-26 1005
在 ASP.NET Core 中,授权(Authorization)是控制对应用资源的访问的过程。它决定了哪些用户或用户组可以访问特定的资源或执行特定的操作。授权通常与身份验证(Authentication)一起使用,身份验证是验证用户身份的过程,授权与身份验证相互独立, 但是,授权需要一种身份验证机制。身份验证是确定用户标识的一个过程。身份验证可为当前用户创建一个或多个标识。在底层,基于角色的授权和基于声明的授权均使用要求、要求处理程序和预配置的策略。这些构建基块支持代码中的授权评估的表达式。
基于.NetCore3.1系列 —— 认证授权方案之授权揭秘 (下篇)
dotNET跨平台
07-11 1013
一、前言回顾:基于.NetCore3.1系列 —— 认证授权方案之授权揭秘 (上篇)在上一篇中,主要讲解了授权在配置方面的源码,从添加授权配置开始,我们引入了需要的授权配置选项,而不同的...
asp.net core系列 50 Identity 授权(中)
weixin_43394129的博客
04-08 91
1.5 基于策略的授权   在上篇中,已经讲到了授权访问(authorization)的四种方式。其中Razor Pages授权约定和简单授权二种方式更像是身份认证(authentication) ,因为只要是合法用户登录就能访问资源。 而角色授权和声明授权二种方式是真正的授权访问(authorization)。   下面继续讲authorization的第五种方式--策略授权。策略授权由一个或...
powerassertmatch断言匹配授权
08-12
`power-assert-match` 是一个特殊的断言库,它提供了更强大的匹配和授权功能,帮助开发者更好地理解和调试代码。这个库尤其适用于那些需要深入洞察断言内部逻辑的复杂项目。下面将详细探讨`power-assert-match`的...
Shiro框架详解:断言实现与核心组件
"本文主要介绍Apache Shiro框架的使用,特别是断言实现的细节,以及Shiro的核心组件和架构。" 在Java安全框架Apache Shiro中,断言是一种确保程序在执行特定操作前验证用户是否拥有相应权限的方法。在提供的代码...
Cadence公司的断言验证手册
12-09
此外,Cadence的这份手册还提到了断言验证的具体技术细节,比如如何利用CPSL(Cadence Property Specification Language)预处理器来实现断言的解析和执行。手册中提到的技术依赖于ANTLR(ANother Tool for Language...
underlay-api实现基础断言功能指南
- **请求处理**:请求的断言数组将被分段处理,这可以通过任务队列或API提供者定义的其他架构来实现。 #### 技术实现 从描述中我们可以推测,该API很可能是使用JavaScript编写,因为提到的技术标签是JavaScript。...
Asp.Net Core 授权源码分析(上篇)
qq_41990222的博客
07-11 1684
我们通过定义授权策略,查看源码发现,在对授权配置之后,授权系统通过DI的方式注册了几个核心的默认实现。添加授权策略服务使用方法,以便调用。从源码可以发现,从core3.0后,由之前在core2.0中的文件中,原来的的方法变为了方法,微软在这一块进行了封装在文件中,沿用了之前拓展名称,不影响之前版本的使用。 由上可知,在调用方法进行授权配置的时候,需要使用到委托方式传参。所以我们再来看看下面这一行代码,通过实现添加策略方式。 通过上图可以把Policy(策略)加入到了AuthorizationOptions
ASP.Net Core下Authorization的几种方式
热门推荐
Freewind的专栏
06-25 1万+
Authorization其目标就是验证Http请求能否通过验证。ASP.Net Core提供了很多种Authorization方式,详细可以参考 微软官方文档。在这里只详细介绍三种方式:PolicyMiddlewareCustom Attribute1. Policy : 策略授权先定义一个IAuthorizationRequirement类来定义策略的要求,以下例子支持传递一个age参数。 ...
认证授权方案之授权揭秘 (上篇)
dotNET跨平台
07-09 1573
一、前言回顾:认证授权方案之授权初识从上一节中,我们在对授权系统已经有了初步的认识和使用,可以发现,asp.net core为我们提供的授权策略是一个非常强大丰富且灵活的认证授权方案,能...
.net MVC下鉴权认证(三)
飞翔的学习笔记
07-31 1193
.net core jwt 下鉴权认证
ASP.NET Core 认证与授权[7]:动态授权
dotNET跨平台
11-28 3771
基于资源的授权 有些场景下,授权需要依赖于要访问的资源,例如:每个资源通常会有一个创建者属性,我们只允许该资源的创建者才可以对其进行编辑,删除等操作,这就无法通过[Authorize]特性来指定授权了。因为授权过滤器会在我们的应用代码,以及MVC的模型绑定之前执行,无法确定所访问的资源。此时,我们需要使用基于资源的授权,下面就来演示一下具体是如何操作的。 定义资源Requirement
ASP.NET Core 认证与授权[5]:初识授权
weixin_33918357的博客
11-21 341
经过前面几章的姗姗学步,我们了解了在 ASP.NET Core 中是如何认证的,终于来到了授权阶段。在认证阶段我们通过用户令牌获取到用户的Claims,而授权便是对这些的Claims的验证,如:是否拥有Admin的角色,姓名是否叫XXX等等。本章就来介绍一下 ASP.NET Core 的授权系统的简单使用。 目录 简单授权 IAllowAnonymous IAuthorizeData 授权...
认证授权方案之授权初识
dotNET跨平台
07-08 919
1.前言回顾:认证授权方案之JwtBearer认证 在上一篇中,我们通过JwtBearer的方式认证,了解在认证时,都是基于Cl...
ASP.NET Core 认证与授权[6]:授权策略是怎么执行的?
dotNET跨平台
11-24 4627
在上一章中ASP.NET Core 认证与授权[5]:初识授权,详细介绍了 ASP.NET Core 中的授权策略,在需要授权时,只需要在对应的Controler或者Action上面打上[Authorize]特性,并指定要执行的策略名称即可,但是,授权策略是怎么执行的呢?怀着一颗好奇的心,忍不住来探索一下它的执行流程。 在《(上一章》中提到,AuthorizeAttribute只是一个简
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值