造輪子之自定義授權策略

原創 飯勺oO 2023-10-10 12:57

前面我們已經弄好了用戶角色這塊內容,接下來就是我們的授權策略。在asp.net core中提供了自定義的授權策略方案,我們可以按照需求自定義我們的權限過濾。
這裏我的想法是,不需要在每個Controller或者Action打上AuthorizeAttribute,自動根據ControllerName和ActionName匹配授權。只需要在Controller基類打上一個AuthorizeAttribute,其他Controller除了需要匿名訪問的,使用統一的ControllerName和ActionName匹配授權方案。
話不多說,開整。

IPermissionChecker

首先我們需要一個PermissionChecker來作爲檢查當前操作是否有權限。很簡單,只需要傳入ControllerName和ActionName。至於實現,後續再寫。

namespace Wheel.Authorization
{
    public interface IPermissionChecker
    {
        Task<bool> Check(string controller, string action);
    }
}

PermissionAuthorizationHandler

接下來我們則需要實現一個PermissionAuthorizationHandler和PermissionAuthorizationRequirement,繼承AuthorizationHandler抽象泛型類。

using Microsoft.AspNetCore.Authorization;

namespace Wheel.Authorization
{
    public class PermissionAuthorizationRequirement : IAuthorizationRequirement
    {
        public PermissionAuthorizationRequirement()
        {
        }

    }
}

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc.Controllers;
using Wheel.DependencyInjection;

namespace Wheel.Authorization
{
    public class PermissionAuthorizationHandler : AuthorizationHandler<PermissionAuthorizationRequirement>, ITransientDependency
    {
        private readonly IPermissionChecker _permissionChecker;

        public PermissionAuthorizationHandler(IPermissionChecker permissionChecker)
        {
            _permissionChecker = permissionChecker;
        }

        protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, PermissionAuthorizationRequirement requirement)
        {
            if (context.Resource is HttpContext httpContext)
            {
                var actionDescriptor = httpContext.GetEndpoint()?.Metadata.GetMetadata<ControllerActionDescriptor>();
                var controllerName = actionDescriptor?.ControllerName;
                var actionName = actionDescriptor?.ActionName;
                if (await _permissionChecker.Check(controllerName, actionName))
                {
                    context.Succeed(requirement);
                }
            }
        }
    }
}

在PermissionAuthorizationHandler中注入IPermissionChecker。
然後通過重寫HandleRequirementAsync進行授權策略的校驗。
這裏使用HttpContext獲取請求的ControllerName和ActionName,再使用IPermissionChecker進行檢查,如果通過則放行,不通過則自動走AspNetCore的其他AuthorizationHandler流程,不需要調用context.Fail方法。

PermissionAuthorizationPolicyProvider

這裏除了AuthorizationHandler,還需要實現一個PermissionAuthorizationPolicyProvider,用於在匹配到我們自定義Permission的時候,就使用PermissionAuthorizationHandler做授權校驗,否則不會生效。

using Microsoft.AspNetCore.Authorization;
using Microsoft.Extensions.Options;
using Wheel.DependencyInjection;

namespace Wheel.Authorization
{
    public class PermissionAuthorizationPolicyProvider : DefaultAuthorizationPolicyProvider, ITransientDependency
    {
        public PermissionAuthorizationPolicyProvider(IOptions<AuthorizationOptions> options) : base(options)
        {
        }
        public override async Task<AuthorizationPolicy?> GetPolicyAsync(string policyName)
        {
            var policy = await base.GetPolicyAsync(policyName);
            if (policy != null)
            {
                return policy;
            }
            if (policyName == "Permission")
            {
                var policyBuilder = new AuthorizationPolicyBuilder(Array.Empty<string>());
                policyBuilder.AddRequirements(new PermissionAuthorizationRequirement());
                return policyBuilder.Build();
            }
            return null;
        }
    }
}

很簡單,只需要匹配到policyName == "Permission"時,添加一個PermissionAuthorizationRequirement即可。

PermissionChecker

接下來我們來實現IPermissionChecker的接口。

namespace Wheel.Permission
{
    public class PermissionChecker : IPermissionChecker, ITransientDependency
    {
        private readonly ICurrentUser _currentUser;
        private readonly IDistributedCache _distributedCache;

        public PermissionChecker(ICurrentUser currentUser, IDistributedCache distributedCache)
        {
            _currentUser = currentUser;
            _distributedCache = distributedCache;
        }

        public async Task<bool> Check(string controller, string action)
        {
            if (_currentUser.IsInRoles("admin"))
                return true;
            foreach (var role in _currentUser.Roles)
            {
                var permissions = await _distributedCache.GetAsync<List<string>>($"Permission:R:{role}");
                if (permissions is null)
                    continue;
                if (permissions.Any(a => a == $"{controller}:{action}"))
                    return true;
            }
            return false;
        }
    }
}

通過當前請求用戶ICurrentUser以及分佈式緩存IDistributedCache做權限判斷,避免頻繁查詢數據庫。
這裏ICurrentUser如何實現後續文章再寫。
很簡單,先判斷用戶角色是否是admin,如果是admin角色則默認所有權限放行。否則根據緩存中的角色權限進行判斷。如果通過則放行,否則拒絕訪問。

創建抽象Controller基類

創建WheelControllerBase抽象基類,添加[Authorize("Permission")]的特性頭部,約定其餘所有Controller都繼承這個控制器。

    [Authorize("Permission")]
    public abstract class WheelControllerBase : ControllerBase
    {
        
    }

接下來我們測試一個需要權限的API。
image.png
image.png
image.png
image.png
通過DEBUG可以看到我們正常走了校驗並響應401。

就這樣我們完成了我們自定義的授權策略配置。

輪子倉庫地址https://github.com/Wheel-Framework/Wheel
歡迎進羣催更。

image.png

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Postman 拷貝 curl 不識別 --data-raw

postman:請求路徑:       拷貝出來的curl: curl --location --request POST 'http://xxxxxxxxxxxxx/xxx/xxx' \ --header 'Content-Type:

亮sir 2024-06-06 14:26:55

985 碩士程序員,空窗 4 個月沒有 Offer!

大家好,我是R哥。 最近,R哥分享了幾個特別有意思的面試輔導成功案例: 35K*14 薪入職了,這公司只要不裁員,我能一直呆下去。。 幹了 2 年多 Java 外包,終於脫離了! 輔導一週,連拿 3 個 Offer! 說到

Java技術棧 2024-06-06 14:24:35

(數據科學學習手札161)高性能數據分析利器DuckDB在Python中的使用

本文完整代碼及附件已上傳至我的Github倉庫https://github.com/CNFeffery/DataScienceStudyNotes 1 簡介   大家好我是費老師,就在幾天前,經過六年多的持續開發迭代,著名的開源高性能分

費弗裏 2024-06-06 14:24:35

WindowsServer--SQL Server搭建主從同步實現讀寫分離 - 事務性分發

十年河東,十年河西,莫欺少年窮 學無止境,精益求精 先決條件 主服務器也稱之爲分發服務器,從服務器稱之爲訂閱服務器 下文皆按照主/從服務器稱呼 主服務器和訂閱服務器需在同一個內網網絡內 主服務器和訂閱服務器安裝相同版本sqlserver,本

天才臥龍 2024-06-06 14:24:25

終於搞懂了!原來vue3中template使用ref無需.value是因爲這個

前言 衆所周知,vue3的template中使用ref變量無需使用.value。還可以在事件處理器中進行賦值操作時,無需使用.value就可以直接修改ref變量的值,比如:<button @click="msg = 'Hello Vue3'

你假裝沒察覺 2024-06-06 14:24:14

調試chatglm4代碼

import torch from transformers import AutoModelForCausalLM, AutoTokenizer from modeling_chatglm import ChatGLMForConditi

張博的博客 2024-06-06 14:22:54

記一次 .NET某工控視覺自動化系統 卡死分析

一:背景 1. 講故事 今天分享的dump是訓練營裏一位學員的,從一個啥也不會到現在分析的有模有樣,真的是看他成長起來的,調試技術學會了就是真真實實自己的,話不多說,上windbg說話。 二:WinDbg 分析 1. 爲什麼會卡死 這位學員

一線碼農 2024-06-06 14:18:44

k8s組件和網絡插件掛掉,演示已有的pod是否正常運行

  環境 03 master ,05 06是node [root@mcwk8s03 mcwtest]# kubectl get nodes -o wide NAME STATUS ROLES AGE VERSI

馬昌偉 2024-06-06 14:16:54

創建一條隧道網絡,進行傳輸的時候,是否是轉換爲物理網卡IP進行通信? k8s組件和網絡插件掛掉,演示已有的pod是否正常運行

由此產生的疑問: k8s組件和網絡插件掛掉,演示已有的pod是否正常運行       【1】創建一條隧道網絡,進行傳輸的時候,是否是轉換爲物理網卡IP進行通信?   在創建隧道網絡進行傳輸時,通常不會直接轉換爲物理網卡IP進行通信。

馬昌偉 2024-06-06 14:16:54

aecmap直接用地理座標系計算面積

aecgis直接用地理座標系計算面積 1.添加字段,選擇雙精度 2.打開字段計算器,選擇python 3.輸入: !Shape.geodesicArea!/1000000  4.計算           @ouyang 翻譯 搜索

莫小龍 2024-06-06 14:16:34

java由於越界導致的報錯

問題 兩種計算時間戳的結果不一樣。 int days = 30; Instant now = Instant.now(); long timestamp_cur = now.toEpochMilli(); long nowPre = ti

jihite 2024-06-06 14:11:03

webDav網盤

今天又學習到了,優點是直接用IIS或nginx等發佈,使用80或443端口。   Windows Server 安裝 WebDAV (步驟超詳細) - 鄭道傑 - 博客園 (cnblogs.com) 全網最詳細 WebDAV 搭建文檔(Wi

81 2024-06-06 14:09:13

NFS,smb和數據庫文件

nfs的搭建網上有很多,可自行查看 Windows Server2012 R2搭建NFS服務器 - 知乎 (zhihu.com) 其中Windows10家庭版不支持NFS客戶端,目前Windows上的協議是V3版本,防火牆上有NFS的選項,

81 2024-06-06 14:09:13

賽博鬥地主——使用大語言模型扮演Agent智能體玩牌類遊戲。

通過大模型來實現多個智能體進行遊戲對局這個想對已經比較成熟了無論是去年驚豔的斯坦福小鎮還是比如metaGPT或者類似的框架都是使用智能體技術讓大模型來操控,從而讓大模型跳出自身“預測下一個token”的文字功能去探索更多的應用落地可能性。不

a1010 2024-06-06 14:08:23

python內置函數——sorted

對List、Dict進行排序,Python提供了兩個方法 對給定的List L進行排序, 方法1.用List的成員函數sort進行排序,在本地進行排序,不返回副本 方法2.用built-in函數sorted進行排序(從2.4開始),返回副本

python學習者0 2024-06-06 14:07:53