一、前言
從上一節中,我們在對授權系統已經有了初步的認識和使用,可以發現,asp.net core為我們提供的授權政策是一個非常強大豐富且靈活的認證授權方案,能夠滿足大部分的授權場景。
在ConfigureServices中配置服務:将授權服務添加到容器
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthorization(options =>
{
options.AddPolicy("customizePermisson",
policy => policy
.Requirements
.Add(new PermissionRequirement("user")));
});
//此外,還需要在 IAuthorizationHandler 類型的範圍内向 DI 系統注冊新的處理程式:
services.AddScoped();
}
在Configure中注冊管道:運作使用調用方法來配置Http請求管道
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
//開啟授權
app.UseAuthorization();
}
通過以上幾行代碼的實作,就可以進行授權了,這個時候,你可以會問,這幾行代碼都進行了什麼操作實作授權的?
好了,繼續回到上節最後說的在這一節中對授權政策的核心進行一步步的揭秘的。
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLi0zaHRGcWdUYuVzVa9GczoVdG1mWfVGc5RHLwkzX39GZhh2csATMflHLwEzX4xSZz91ZsADMx8FdsYkRGZkRG9lcvx2bjxSa2EWNhJTW1AlUxEFeVRUUfRHelRHL2EzXlpXazxyayFWbyVGdhd3LcV2Zh1Wa9M3clN2byBXLzN3btg3PnVGcq5CZ5EzMhVGZ2M2Y2YmZzMDNzUDMkFjNlRGNkZmNkBjN58CX0IzLcRDMxIDMy8CXn9Gbi9CXzV2Zh1WavwVbvNmLvR3YxUjL4M3Lc9CX6MHc0RHaiojIsJye.jpeg)
二、開始
引入整體結構
2.1 添加授權AddAuthorization
添加授權政策服務使用AddAuthorization方法,以便調用。
從源碼可以發現,從core3.0後,由之前在core2.0中的AuthorizationServiceCollectionExtensions.cs檔案中,原來的AddAuthorization的方法變為了AddAuthorizationCore方法,微軟在這一塊進行了封裝在PolicyServiceCollectionExtensions.cs檔案中,沿用了之前AddAuthorization拓展名稱,不影響之前版本的使用。
我們來看看aspnetcore源碼:
public static class PolicyServiceCollectionExtensions
{
public static IServiceCollection AddAuthorizationPolicyEvaluator(this IServiceCollection services)
{
if (services == null)
{
throw new ArgumentNullException(nameof(services));
}
services.TryAddSingleton();
services.TryAddTransient();
services.TryAddTransient();
return services;
}
public static IServiceCollection AddAuthorization(this IServiceCollection services)
{
if (services == null)
{
throw new ArgumentNullException(nameof(services));
}
services.AddAuthorizationCore();
services.AddAuthorizationPolicyEvaluator();
return services;
}
public static IServiceCollection AddAuthorization(this IServiceCollection services, Actionconfigure)
{
if (services == null)
{
throw new ArgumentNullException(nameof(services));
}
services.AddAuthorizationCore(configure);
services.AddAuthorizationPolicyEvaluator();
return services;
}
}
public static class AuthorizationServiceCollectionExtensions
{
public static IServiceCollection AddAuthorizationCore(this IServiceCollection services)
{
if (services == null)
{
throw new ArgumentNullException(nameof(services));
}
services.TryAdd(ServiceDescriptor.Transient());
services.TryAdd(ServiceDescriptor.Transient());
services.TryAdd(ServiceDescriptor.Transient());
services.TryAdd(ServiceDescriptor.Transient()); services.TryAdd(ServiceDescriptor.Transient());
services.TryAddEnumerable(ServiceDescriptor.Transient());
return services;
}
public static IServiceCollection AddAuthorizationCore(this IServiceCollection services, Actionconfigure)
{
if (services == null)
{
throw new ArgumentNullException(nameof(services));
}
services.Configure(configure);
return services.AddAuthorizationCore();
}
}
由上可知,在調用AddAuthorization方法進行授權配置的時候,需要使用到AuthorizationOptions委托方式傳參。
是以我們再來看看下面這一行代碼,通過AddPolicy實作添加政策方式。
options.AddPolicy("customizePermisson",policy => policy.Requirements.Add(new PermissionRequirement("user")));
檢視源碼發現是引用了AuthorizationOptions對象。
2.2 配置選項AuthorizationOptions
授權選項實作添加和授權配置,提供授權服務的配置。
源碼如下:
public class AuthorizationOptions
{
private DictionaryPolicyMap { get; } = new Dictionary(StringComparer.OrdinalIgnoreCase);
public bool InvokeHandlersAfterFailure { get; set; } = true;
public AuthorizationPolicy DefaultPolicy { get; set; } = new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build();
public AuthorizationPolicy? FallbackPolicy { get; set; }
public void AddPolicy(string name, AuthorizationPolicy policy)
{
if (name == null)
{
throw new ArgumentNullException(nameof(name));
}
if (policy == null)
{
throw new ArgumentNullException(nameof(policy));
}
PolicyMap[name] = policy;
}
public void AddPolicy(string name, ActionconfigurePolicy)
{
if (name == null)
{
throw new ArgumentNullException(nameof(name));
}
if (configurePolicy == null)
{
throw new ArgumentNullException(nameof(configurePolicy));
}
var policyBuilder = new AuthorizationPolicyBuilder();
configurePolicy(policyBuilder);
PolicyMap[name] = policyBuilder.Build();
}
public AuthorizationPolicy GetPolicy(string name)
{
if (name == null)
{
throw new ArgumentNullException(nameof(name));
}
if (PolicyMap.TryGetValue(name, out var value))
{
return value;
}
return null;
}
}
定義一個字典
private DictionaryPolicyMap { get; } = new Dictionary(StringComparer.OrdinalIgnoreCase);
目的在于将定義的授權政策方式都儲存在這個聲明的PolicyMap當中,而其中AddPolicy方法是将配置的政策添加到字典中。
public void AddPolicy(string name, AuthorizationPolicy policy);
public void AddPolicy(string name, ActionconfigurePolicy);
而這方法中涉及到兩種不同的傳參對象AuthorizationPolicy和AuthorizationPolicyBuilder。
2.3 授權政策 AuthorizationPolicy
表示授權要求和方案的集合。具體源碼如下:
public class AuthorizationPolicy
{
public AuthorizationPolicy(IEnumerablerequirements, IEnumerableauthenticationSchemes)
{
if (requirements == null)
{
throw new ArgumentNullException(nameof(requirements));
}
if (authenticationSchemes == null)
{
throw new ArgumentNullException(nameof(authenticationSchemes));
}
if (requirements.Count() == 0)
{
throw new InvalidOperationException(Resources.Exception_AuthorizationPolicyEmpty);
}
Requirements = new List(requirements).AsReadOnly();
AuthenticationSchemes = new List(authenticationSchemes).AsReadOnly();
}
public IReadOnlyListRequirements { get; }
public IReadOnlyListAuthenticationSchemes { get; }
public static AuthorizationPolicy Combine(params AuthorizationPolicy[] policies)
{
if (policies == null)
{
throw new ArgumentNullException(nameof(policies));
}
return Combine((IEnumerable)policies);
}
public static AuthorizationPolicy Combine(IEnumerablepolicies)
{
if (policies == null)
{
throw new ArgumentNullException(nameof(policies));
}
var builder = new AuthorizationPolicyBuilder();
foreach (var policy in policies)
{
builder.Combine(policy);
}
return builder.Build();
}
public static async TaskCombineAsync(IAuthorizationPolicyProvider policyProvider, IEnumerableauthorizeData)
{
if (policyProvider == null)
{
throw new ArgumentNullException(nameof(policyProvider));
}
if (authorizeData == null)
{
throw new ArgumentNullException(nameof(authorizeData));
}
// Avoid allocating enumerator if the data is known to be empty
var skipEnumeratingData = false;
if (authorizeData is IListdataList)
{
skipEnumeratingData = dataList.Count == 0;
}
AuthorizationPolicyBuilder policyBuilder = null;
if (!skipEnumeratingData)
{
foreach (var authorizeDatum in authorizeData)
{
if (policyBuilder == null)
{
policyBuilder = new AuthorizationPolicyBuilder();
}
var useDefaultPolicy = true;
if (!string.IsNullOrWhiteSpace(authorizeDatum.Policy))
{
var policy = await policyProvider.GetPolicyAsync(authorizeDatum.Policy);
if (policy == null)
{
throw new InvalidOperationException(Resources.FormatException_AuthorizationPolicyNotFound(authorizeDatum.Policy));
}
policyBuilder.Combine(policy);
useDefaultPolicy = false;
}
var rolesSplit = authorizeDatum.Roles?.Split(',');
if (rolesSplit != null && rolesSplit.Any())
{
var trimmedRolesSplit = rolesSplit.Where(r => !string.IsNullOrWhiteSpace(r)).Select(r => r.Trim());
policyBuilder.RequireRole(trimmedRolesSplit);
useDefaultPolicy = false;
}
var authTypesSplit = authorizeDatum.AuthenticationSchemes?.Split(',');
if (authTypesSplit != null && authTypesSplit.Any())
{
foreach (var authType in authTypesSplit)
{
if (!string.IsNullOrWhiteSpace(authType))
{
policyBuilder.AuthenticationSchemes.Add(authType.Trim());
}
}
}
if (useDefaultPolicy)
{
policyBuilder.Combine(await policyProvider.GetDefaultPolicyAsync());
}
}
}
// If we have no policy by now, use the fallback policy if we have one
if (policyBuilder == null)
{
var fallbackPolicy = await policyProvider.GetFallbackPolicyAsync();
if (fallbackPolicy != null)
{
return fallbackPolicy;
}
}
return policyBuilder?.Build();
}
}
我們從源碼中可以發現,Authorization 對象 Combine方法目的在于将授權政策進行合并,同時調用了AuthorizationPolicyBuilder對象中Combine方法,對授權方案或者授權政策進行合并。再來看看AuthorizationPolicy對象中的CombineAsync方法,這裡的參數用到了IAuthorizeData,同時這個方法的過程是将可能基于角色,基于方案或者基于政策都合并轉換為是授權政策的方式,也是通過調用AuthorizationPolicyBuilder對象來實作合并。 是以可以看得出AuthorizationPolicyBuilder提供了一些建立AuthorizationPolicy的方法。
這個時候,我們可以發現,其實之前說的基于角色、基于方案的授權方式本質上來說都是基于政策授權。
2.4 建構政策AuthorizationPolicyBuilder
除了上面說到使用AuthorizationPolicy對象之外,我們還可以用AuthorizationPolicyBuilder對象以Buider來建立AuthorizationPolicy對象,将多個AuthorizationPolicy對象提供的數組進行合并,是以AuthorizationPolicyBuilder提供的Combine方法的使用,為AuthorizationPolicy授權建構提供了許多便捷的方式。
public class AuthorizationPolicyBuilder
{
public AuthorizationPolicyBuilder(params string[] authenticationSchemes)
{
AddAuthenticationSchemes(authenticationSchemes);
}
public AuthorizationPolicyBuilder(AuthorizationPolicy policy)
{
Combine(policy);
}
public IListRequirements { get; set; } = new List();
public IListAuthenticationSchemes { get; set; } = new List();
public AuthorizationPolicyBuilder AddAuthenticationSchemes(params string[] schemes)
{
foreach (var authType in schemes)
{
AuthenticationSchemes.Add(authType);
}
return this;
}
public AuthorizationPolicyBuilder AddRequirements(params IAuthorizationRequirement[] requirements)
{
foreach (var req in requirements)
{
Requirements.Add(req);
}
return this;
}
public AuthorizationPolicyBuilder Combine(AuthorizationPolicy policy)
{
if (policy == null)
{
throw new ArgumentNullException(nameof(policy));
}
AddAuthenticationSchemes(policy.AuthenticationSchemes.ToArray());
AddRequirements(policy.Requirements.ToArray());
return this;
}
public AuthorizationPolicyBuilder RequireClaim(string claimType, params string[] allowedValues)
{
if (claimType == null)
{
throw new ArgumentNullException(nameof(claimType));
}
return RequireClaim(claimType, (IEnumerable)allowedValues);
}
public AuthorizationPolicyBuilder RequireClaim(string claimType, IEnumerableallowedValues)
{
if (claimType == null)
{
throw new ArgumentNullException(nameof(claimType));
}
Requirements.Add(new ClaimsAuthorizationRequirement(claimType, allowedValues));
return this;
}
public AuthorizationPolicyBuilder RequireClaim(string claimType)
{
if (claimType == null)
{
throw new ArgumentNullException(nameof(claimType));
}
Requirements.Add(new ClaimsAuthorizationRequirement(claimType, allowedValues: null));
return this;
}
public AuthorizationPolicyBuilder RequireRole(params string[] roles)
{
if (roles == null)
{
throw new ArgumentNullException(nameof(roles));
}
return RequireRole((IEnumerable)roles);
}
public AuthorizationPolicyBuilder RequireRole(IEnumerableroles)
{
if (roles == null)
{
throw new ArgumentNullException(nameof(roles));
}
Requirements.Add(new RolesAuthorizationRequirement(roles));
return this;
}
public AuthorizationPolicyBuilder RequireUserName(string userName)
{
if (userName == null)
{
throw new ArgumentNullException(nameof(userName));
}
Requirements.Add(new NameAuthorizationRequirement(userName));
return this;
}
public AuthorizationPolicyBuilder RequireAuthenticatedUser()
{
Requirements.Add(new DenyAnonymousAuthorizationRequirement());
return this;
}
public AuthorizationPolicyBuilder RequireAssertion(Funchandler)
{
if (handler == null)
{
throw new ArgumentNullException(nameof(handler));
}
Requirements.Add(new AssertionRequirement(handler));
return this;
}
public AuthorizationPolicyBuilder RequireAssertion(Func<AuthorizationHandlerContext, Task> handler)
{
if (handler == null)
{
throw new ArgumentNullException(nameof(handler));
}
Requirements.Add(new AssertionRequirement(handler));
return this;
}
public AuthorizationPolicy Build()
{
return new AuthorizationPolicy(Requirements, AuthenticationSchemes.Distinct());
}
}
由上面多出出現的IAuthorizationRequirement對象可以發現,授權要求Requirement屬性是政策的核心方案,每一種Requirement都代表一種授權方式。同時IAuthorizationPolicyBuilder為這些預定義的方案建立了它們對應的使用方式并将其添加到Requirements集合中。
2.5 授權要求IAuthorizationRequirement
public interface IAuthorizationRequirement
{
}
接口并沒有任何實作成員,因為授權要求是具有不同的表現形式的,所有才沒有具體的實作成員。授權要求目的在于檢驗某個目前使用者是否具有相應的要求, 是以大部分IAuthorizationRequirement接口的實作類都繼承了IAuthorizationHandler 接口來提供HandleAsync方法來實作對應的授權檢驗。
下面介紹asp.net core架構裡面預設實作的幾種IAuthorizationRequirement實作類型。
2.5.1 DenyAnonymousAuthorizationRequirement
阻止匿名使用者操作,言外之意就是拒絕未被驗證的匿名使用者通路資源。
public class DenyAnonymousAuthorizationRequirement : AuthorizationHandler, IAuthorizationRequirement
{
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, DenyAnonymousAuthorizationRequirement requirement)
{
var user = context.User;
var userIsAnonymous =
user?.Identity == null ||
!user.Identities.Any(i => i.IsAuthenticated);
if (!userIsAnonymous)
{
context.Succeed(requirement);
}
return Task.CompletedTask;
}
}
通過使用者的CliamPrincipal對象身份是否為空或是否是一個經過認證的使用者身份,以此來确定目前請求的使用者是否來源于匿名使用者。
2.5.2 NameAuthorizationRequirement
指定使用者名的授權方式,判斷目前使用者與某個指定的使用者是否比對以此來授權通路資源。
public class NameAuthorizationRequirement : AuthorizationHandler, IAuthorizationRequirement
{
public NameAuthorizationRequirement(string requiredName)
{
if (requiredName == null)
{
throw new ArgumentNullException(nameof(requiredName));
}
RequiredName = requiredName;
}
public string RequiredName { get; }
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, NameAuthorizationRequirement requirement)
{
if (context.User != null)
{
if (context.User.Identities.Any(i => string.Equals(i.Name, requirement.RequiredName)))
{
context.Succeed(requirement);
}
}
return Task.CompletedTask;
}
}
其中RequiredName屬性為授權使用者,通過HandleRequirementAsync方法進行校驗目前使用者的ClaimPrincipal對象的身份與RequiredName是否具有比對。
這裡的判斷用的是 string.Equals() 說明這裡比較的使用者名是差別大小寫的。
2.5.3 ClaimsAuthorizationRequirement
基于指定聲明類型的授權政策,檢驗目前使用者是否聲明類型和候選值。
public class ClaimsAuthorizationRequirement : AuthorizationHandler, IAuthorizationRequirement
{
public ClaimsAuthorizationRequirement(string claimType, IEnumerableallowedValues)
{
if (claimType == null)
{
throw new ArgumentNullException(nameof(claimType));
}
ClaimType = claimType;
AllowedValues = allowedValues;
}
public string ClaimType { get; }
public IEnumerableAllowedValues { get; }
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, ClaimsAuthorizationRequirement requirement)
{
if (context.User != null)
{
var found = false;
if (requirement.AllowedValues == null || !requirement.AllowedValues.Any())
{
found = context.User.Claims.Any(c => string.Equals(c.Type, requirement.ClaimType, StringComparison.OrdinalIgnoreCase));
}
else
{
found = context.User.Claims.Any(c => string.Equals(c.Type, requirement.ClaimType, StringComparison.OrdinalIgnoreCase)
&& requirement.AllowedValues.Contains(c.Value, StringComparer.Ordinal));
}
if (found)
{
context.Succeed(requirement);
}
}
return Task.CompletedTask;
}
}
由上我們可以看的出,ClaimType和AllowedValues這兩個屬性在構造函數中被初始化,分别用來表示目前聲明的聲明類型和預設允許值。通過HandleRequirementAsync來授權檢驗是否完成通過。
2.5.4 RolesAuthorizationRequirement
基于角色的授權政策,檢驗目前使用者是否擁有約定比對的角色,如果擁有,則可以通路對應的資源。
public class RolesAuthorizationRequirement : AuthorizationHandler, IAuthorizationRequirement
{
public RolesAuthorizationRequirement(IEnumerableallowedRoles)
{
if (allowedRoles == null)
{
throw new ArgumentNullException(nameof(allowedRoles));
}
if (allowedRoles.Count() == 0)
{
throw new InvalidOperationException(Resources.Exception_RoleRequirementEmpty);
}
AllowedRoles = allowedRoles;
}
public IEnumerableAllowedRoles { get; }
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, RolesAuthorizationRequirement requirement)
{
if (context.User != null)
{
bool found = false;
if (requirement.AllowedRoles == null || !requirement.AllowedRoles.Any())
{
// Review: What do we want to do here? No roles requested is auto success?
}
else
{
found = requirement.AllowedRoles.Any(r => context.User.IsInRole(r));
}
if (found)
{
context.Succeed(requirement);
}
}
return Task.CompletedTask;
}
}
其中AllowedRoles表示目标角色清單的集合。通過HandleRequirementAsync實作授權檢驗,調用IsInRole方法來判斷目前使用者的ClaimsPrincipal對象是否有指定的角色。
2.5.5 AssertionRequirement
基于AuthorizationHandlerContext上下文斷言的形式來聲明授權。
public class AssertionRequirement : IAuthorizationHandler, IAuthorizationRequirement
{
public Func<AuthorizationHandlerContext, Task> Handler { get; }
public AssertionRequirement(Funchandler)
{
if (handler == null)
{
throw new ArgumentNullException(nameof(handler));
}
Handler = context => Task.FromResult(handler(context));
}
public AssertionRequirement(Func<AuthorizationHandlerContext, Task> handler)
{
if (handler == null)
{
throw new ArgumentNullException(nameof(handler));
}
Handler = handler;
}
public async Task HandleAsync(AuthorizationHandlerContext context)
{
if (await Handler(context))
{
context.Succeed(this);
}
}
}
通過類型為Func<AuthorizationHandlerContext, Task的委托來表示該斷言,利用它來授權驗證。在HandleAsync檢驗方法中,直接調用這個委托對象來完成判斷。
2.5.6 OperationAuthorizationRequirement
基于預定義操作的授權政策。
public class OperationAuthorizationRequirement : IAuthorizationRequirement
{
public string Name { get; set; }
}
由上可知,隻是包含一個操作名字的Name屬性,目的在于将授權的目标對象映射到一個預定義的操作上。
三、用例
出現的IAuthorizationRequirement對象可以發現,授權要求Requirement屬性是政策的核心方案,每一中Requirement都代表一種授權方式。
在上文我們通過建構政策AuthorizationPolicyBuilder對象的源碼可以發現,為我們提供了多個方法由預定義的IAuthorizationRequirement類型來建立并将其添加到Requirements集合中。
3.1 應用
執行個體應用如下:在ConfigureServices中配置服務中
public void ConfigureServices(IServiceCollection services)
{
services.AddControllers();
var combindPolicy = new AuthorizationPolicyBuilder().RequireClaim("role").Build();
services.AddAuthorization(options =>
{
//DenyAnonymousAuthorizationRequirement
options.AddPolicy("DenyAnonyUser", policy => policy.RequireAuthenticatedUser());
//NameAuthorizationRequirement
options.AddPolicy("NameAuth", policy => policy.RequireUserName("艾三元"));
//ClaimsAuthorizationRequirement
options.AddPolicy("ClaimsAuth", policy => policy.RequireClaim("role","admin"));
//RolesAuthorizationRequirement
options.AddPolicy("RolesAuth", policy => policy.RequireRole("admin","user"));
//AssertionRequirement
options.AddPolicy("AssertAuth", policy => policy.RequireAssertion(c=>c.User.HasClaim(o=>o.Type=="role")));
//同樣可可用直接調用Combind方法,政策AuthorizationPolicy
options.AddPolicy("CombindAuth", policy => policy.Combine(combindPolicy));
});
}
以上,分别實作了架構中預設實作的幾種IAuthorizationRequirement實作類型在實際中的應用,通過不同授權要求實作的政策方式,同時也可以将上面多種方式合并成一個對象,進行調用使用。
3.2 拓展
當然了,除了自帶了這幾種預設實作方式之外,我們也可以通過自定義Requirement來滿足我們的需求。
這個在上一節初識授權的時候,已經提到了自定義授權這一塊,是以在這裡再看一次。
定義一個權限政策PermissionRequirement,這個政策并包含一些屬性。再定義一個政策處理類public class PermissionRequirement: IAuthorizationRequirement { public string _permissionName { get; } public PermissionRequirement(string PermissionName) { _permissionName = PermissionName; } }
配置使用public class PermissionRequirementHandler : AuthorizationHandler{ protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, PermissionRequirement requirement) { var role = context.User.FindFirst(c => c.Type == ClaimTypes.Role); if (role != null) { var roleValue = role.Value; if (roleValue==requirement._permissionName) { context.Succeed(requirement); } } return Task.CompletedTask;
public void ConfigureServices(IServiceCollection services) { services.AddControllers(); //基于自定義政策授權 services.AddAuthorization(options => { options.AddPolicy("customizePermisson", policy => policy .Requirements .Add(new PermissionRequirement("admin"))); }); //此外,還需要在 IAuthorizationHandler 類型的範圍内向 DI 系統注冊新的處理程式: services.AddScoped(); // 如前所述,要求可包含多個處理程式。如果為授權層的同一要求向 DI 系統注冊多個處理程式,有一個成功就足夠了。 }
特别說明
上述使用的處理程式是一對一的關系,當聲明要求滿足條件的時候,則任務授權成功, 授權成功後, context.Succeed 将通過滿足要求作為其唯一參數調用。
但是授權政策中也包含一對多的要求關系,它們屬于 & 的關系,隻用全部驗證通過,才能最終授權成功。但是在有些場景下,我們可能希望一個授權政策可以适用多種情況,比如,我們進入公司時需要出示員工卡才可以被授權進入,但是如果我們忘了帶員工卡,可以去申請一個臨時卡,同樣可以授權成功。
這裡貼一個官方文檔的寫法: public class BuildingEntryRequirement : IAuthorizationRequirement { } public class BadgeEntryHandler : AuthorizationHandler{ protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, BuildingEntryRequirement requirement) { if (context.User.HasClaim(c => c.Type == "BadgeId" && c.Issuer == "http://microsoftsecurity")) { context.Succeed(requirement); } //TODO: Use the following if targeting a version of //.NET Framework older than 4.6: // return Task.FromResult(0); return Task.CompletedTask; } } public class TemporaryStickerHandler : AuthorizationHandler{ protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, BuildingEntryRequirement requirement) { if (context.User.HasClaim(c => c.Type == "TemporaryBadgeId" && c.Issuer == "https://microsoftsecurity")) { // We'd also check the expiration date on the sticker. context.Succeed(requirement); } //TODO: Use the following if targeting a version of //.NET Framework older than 4.6: // return Task.FromResult(0); return Task.CompletedTask; } }
我們定義了兩個Handler,但是想讓它們得到執行,還需要将其注冊到DI系統中:
services.AddSingleton();
services.AddSingleton();
確定兩個處理程式都已注冊。 如果某個處理程式在某一政策評估後使用context.succeed()來成功 BuildingEntryRequirement ,則政策評估将成功。但是當我們調用context.Fail()方法後會将授權結構設定失敗,那樣的話,最後的結果都是會授權失敗的。是以正常情況下。我們都是隻設定标記context.succeed()。
四、說明
這裡對上文源碼中出現的一些聲明方法進行說明。
4.1 IAuthorizeData
使用 IAuthorizeDate 接口方法。定義授權規則應用于資源所需的資料集。
public interface IAuthorizeData
{
string Policy { get; set; }
string Roles { get; set; }
string AuthenticationSchemes { get; set; }
}
Policy:擷取或設定确定對資源的通路的政策名稱。
Roles: 擷取或設定以逗号分隔的允許通路資源的角色清單。
AuthenticationSchemes: 擷取或以設定以逗号分隔的方案清單,從中可以構造使用者資訊。
是以IAuthorizeData中定義的policy、roles、AuthenticationSchemes三個分别代表着授權系統中的三種授權方式。
五、後續
六、總結
- 從添加授權配置開始,我們引入了需要的授權配置選項,而不同的授權要求建構不同的政策方式,進而實作一種自己滿意的授權需求配置要求。
- 如果有不對的或不了解的地方,希望大家可以多多指正,提出問題,一起讨論,不斷學習,共同進步。
- 參考的文檔 和官方源碼