原文:ASP.Net Core下Authorization的几种方式 - 简书

ASP.Net Core下Authorization的几种方式

Authorization其目标就是验证Http请求能否通过验证。ASP.Net Core提供了很多种Authorization方式,详细可以参考 微软官方文档。在这里只详细介绍三种方式:

  • Policy
  • Middleware
  • Custom Attribute

1. Policy : 策略授权

先定义一个IAuthorizationRequirement类来定义策略的要求,以下例子支持传递一个age参数。

    public class AdultPolicyRequirement : IAuthorizationRequirement

    {

        public int Age { get; }

        public AdultPolicyRequirement(int age)

        {

            //年龄限制

            this.Age = age;

        }

    }

然后定义策略要求的Handler,当提供的Controller被请求时先根据请求的Http报文来决定是否可以通过验证。

    public class AdultAuthorizationHandler : AuthorizationHandler

    {

        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, AdultPolicyRequirement requirement)

        {

            //获取当前http请求的context对象

            var mvcContext = context.Resource as AuthorizationFilterContext;

            //以下代码都不是必须的,只是展示一些使用方法,你可以选择使用

            ......

            //

            var age = mvcContext.HttpContext.Request.Query.FirstOrDefault(u => u.Key == "age");

            if (age.Value.Count <= 0|| Convert.ToInt16(age.Value[0]) < requirement.Age)

            {

                context.Fail();

            }

            else

            {

                //通过验证,这句代码必须要有

                context.Succeed(requirement);

            }

            return Task.CompletedTask;

        }

    }

还需要在启动时,在services里注册定义的策略和对应的Handler

    //添加二种认证策略,一种以12岁为界限,一种是18岁

    services.AddAuthorization(options =>

    {

        options.AddPolicy("Adult1", policy =>

            policy.Requirements.Add(new AdultPolicyRequirement(12)));

        options.AddPolicy("Adult2", policy =>

            policy.Requirements.Add(new AdultPolicyRequirement(18)));

    });

    //添加策略验证handler

    services.AddSingleton();

最后在相应的Controller前加上Authroize特性 [Authorize("Adult1")]。总体上Policy这种方式比较简单,但是也有不灵活的地方,不同的策略要求都需要提前在services里注册。完整的例子可以参考 PolicySample

2. Middleware: 中间件方式

这种方式并不是专门用于授权,它的用途更广更灵活,它用于在所有Http Request和Response前授权检查、数据处理、错误跳转、日志处理等。详细说明可以参考 官方Middleware说明

 
image

这个图是基本的结构和运行图,我们可以创建多个中间组件,组成一个管道,在Http的Request发出和Response创建之前对HttpContext.Request和HttpContext.Response进行处理。看以下例子,定义了2个中间组件类:

    public class AuthorizeMiddleware

    {

        private readonly RequestDelegate next;

        public AuthorizeMiddleware(RequestDelegate next)

        {

            this.next = next;

        }

        public async Task Invoke(HttpContext context /* other scoped dependencies */)

        {

            //以下代码都不是必须的,只是展示一些使用方法,你可以选择使用

            ...

            //这个例子只是修改一下response的header

            context.Response.OnStarting(state => {

                var httpContext = (HttpContext)state;

                httpContext.Response.Headers.Add("test2", "testvalue2");

                return Task.FromResult(0);

            }, context);

            //处理结束转其它中间组件去处理

            await next(context);

        }

    }


    public class OtherMiddleware

    {

        private readonly RequestDelegate next;

        public OtherMiddleware(RequestDelegate next)

        {

            this.next = next;

        }

        public async Task Invoke(HttpContext context )

        {

            //这个例子只是修改一下response的header

            context.Response.OnStarting(state => {

                var httpContext = (HttpContext)state;

                httpContext.Response.Headers.Add("test1", "testvalue1" );

                return Task.FromResult(0);

            }, context);

            await next(context);

        }

    }

这里定义的类不需要实现接口或集成系统的类。只需要给app增加middleware代理类的定义。注意在HttpResponse发出之后就不要再调用next.invoke()。以下三句代码的执行顺序不能弄错。

      app.UseMiddleware(typeof(AuthorizeMiddleware));

      app.UseMiddleware(typeof(OtherMiddleware));

      app.UseMvc();

执行web请求后执行的顺序是:

  • 执行AuthorizeMiddleware的invoke方法
  • 执行OtherMiddleware的invoke方法
  • 执行ValueController的Get方法
  • 执行OtherMiddleware的修改header方法
  • 执行AuthorizeMiddleware的修改header方法
  • 发出Http Response

大家可以自己执行一下代码来理解。代码参考 Github地址

3. Custom Attribute:自定义特性

这里其实是第一种Policy策略和自定义特性的结合,从而实现在Controller的具体方法位置自定义不同参数的Policy策略。

首先需要定义这个Attribute和策略要求类

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true)]

    public class PermissionCheckAttribute : AuthorizeAttribute

    {

        public string Id { get; set; }

        public int Operation { get; set; }

        public PermissionCheckAttribute() : base("PermissionCheck")

        {

        }

    }

    public class PermissionCheckPolicyRequirement : IAuthorizationRequirement

    {

        //Add any custom requirement properties if you have them

        public PermissionCheckPolicyRequirement()

        {

        }

    }

再定义策略和Attribute对应的Handler处理类

    public class PermissionCheckPolicyHandler : AttributeAuthorizationHandler<PermissionCheckPolicyRequirement, PermissionCheckAttribute>

    {

        protected override Task HandleRequirementAsync(AuthorizationHandlerContext authoriazationContext,

            PermissionCheckPolicyRequirement requirement, IEnumerable<PermissionCheckAttribute> attributes)

        {

            var context = authoriazationContext.Resource as AuthorizationFilterContext;

            foreach (var permissionAttribute in attributes)

            {

                this.checkPermission(context, permissionAttribute.Id, permissionAttribute.Operation);

            }

            authoriazationContext.Succeed(requirement);

            return Task.FromResult<object>(null);

        }

        private void checkPermission(AuthorizationFilterContext context, string _Id, int _Operation)

        {

            if (_Operation > 0)

            {

                if (_Id != "user1")

                {

                    throw new Exception("不具备操作权限");

                }

            }

            else

            {

                //dosomething

            }

            return;

        }

    }

同样还需要在service里添加策略和策略处理类,这里不贴代码了。最后在Controller里使用带参数的Attribute,类似如下:

        [HttpGet]

        [PermissionCheck (Id ="user1", Operation=2)]

        public IEnumerable Get()

        {

            return new string[] { "value1", "value2" };

        }

        // GET api/values/5

        [HttpGet("{id}")]

        [PermissionCheck(Id = "user2", Operation = 4)]

        public string Get(int id)

        {

            return "value";

        }

完整的代码参考Github地址

作者:voxer
链接:https://www.jianshu.com/p/0ed4d820809c
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

ASP.Net Core下Authorization的几种方式 - 简书的更多相关文章

  1. Asp.Net Core下的两种路由配置方式

    与Asp.Net Mvc创建区域的时候会自动为你创建区域路由方式不同的是,Asp.Net Core下需要自己手动做一些配置,但更灵活了. 我们先创建一个区域,如下图 然后我们启动访问/Manage/H ...

  2. 项目开发中的一些注意事项以及技巧总结 基于Repository模式设计项目架构—你可以参考的项目架构设计 Asp.Net Core中使用RSA加密 EF Core中的多对多映射如何实现? asp.net core下的如何给网站做安全设置 获取服务端https证书 Js异常捕获

    项目开发中的一些注意事项以及技巧总结   1.jquery采用ajax向后端请求时,MVC框架并不能返回View的数据,也就是一般我们使用View().PartialView()等,只能返回json以 ...

  3. Asp.net core下利用EF core实现从数据实现多租户(3): 按Schema分离 附加:EF Migration 操作

    前言 前段时间写了EF core实现多租户的文章,实现了根据数据库,数据表进行多租户数据隔离. 今天开始写按照Schema分离的文章. 其实还有一种,是通过在数据表内添加一个字段做多租户的,但是这种模 ...

  4. ASP.NET CORE下运行CMD命令

    ASP.NET CORE下运行CMD命令,用以前的ASP.NET 的命令System.Diagnostics.Process.Start("notepad");这样是可以运行出记事 ...

  5. Asp.net core下利用EF core实现从数据实现多租户(1)

    前言 随着互联网的的高速发展,大多数的公司由于一开始使用的传统的硬件/软件架构,导致在业务不断发展的同时,系统也逐渐地逼近传统结构的极限. 于是,系统也急需进行结构上的升级换代. 在服务端,系统的I/ ...

  6. ASP.NET Core下FreeSql的仓储事务

    ASP.NET Core下FreeSql的仓储事务 第一步:配置 Startup.cs 注入 引入包 dotnet add package FreeSql dotnet add package Fre ...

  7. ASP.NET 页面之间传值的几种方式

    开篇概述 对于任何一个初学者来说,页面之间传值可谓是必经之路,却又是他们的难点.其实,对大部分高手来说,未必不是难点. 回想2016年面试的将近300人中,有实习生,有应届毕业生,有1-3年经验的,有 ...

  8. 【ASP.NET MVC系列】浅谈ASP.NET 页面之间传值的几种方式

    ASP.NET MVC系列文章 [01]浅谈Google Chrome浏览器(理论篇) [02]浅谈Google Chrome浏览器(操作篇)(上) [03]浅谈Google Chrome浏览器(操作 ...

  9. ASP.NET页面间传值的几种方式

    ASP.NET页面间传值的几种方式 1.使用QueryString 使用QuerySting在页面间传递值已经是一种很老的机制了,这种方法的主要优点是实现起来非常简单,然而它的缺点是传递的值是会显示在 ...

随机推荐

  1. elasticsearch与kibana安装过程(linux)

    elasticsearch与kibana安装 下载 Elasticsearch 官网:https://www.elastic.co/,elastic search应用本质就是一个jvm进程,所以需要J ...

  2. MySort作业与IO-Myhead

    一.MySort 1.题目要求 模拟实现Linux下Sort -t : -k 2的功能. 要有伪代码,产品代码,测试代码(注意测试用例的设计) 参考 Sort的实现.提交博客链接. 2.产品代码 im ...

  3. linux下无root源码安装软件

    先进入源码文件夹下指定安装路径 ./configure --prefix=/public/home/ztu/usr/samtools 编译 make 安装 make install 写入环境变量 vi ...

  4. Python tuple 元组

    Python 元组 Python的元组与列表类似,不同之处在于元组的元素不能修改. 元组使用小括号,列表使用方括号. 元组创建很简单,只需要在括号中添加元素,并使用逗号隔开即可. 如下实例: tup1 ...

  5. LeetCode 73. 矩阵置零(Set Matrix Zeroes)

    题目描述 给定一个 m x n 的矩阵,如果一个元素为 0,则将其所在行和列的所有元素都设为 0.请使用原地算法. 示例 1: 输入: [   [1,1,1],   [1,0,1],   [1,1,1 ...

  6. Java操作符——i++ 和 ++i的区别

    问题:前置自增和后置自增的区别 Code-后置自增 public class Test { public static void main(String[] args) { int a = 2; in ...

  7. koa 基础(五)动态路由的传值

    1.动态路由的传值 app.js /** * 动态路由的传值 */ // 引入模块 const Koa = require('koa'); const router = require('koa-ro ...

  8. python 面对对象 类(继承, 多态)

    继承,继承其它实例化样本的属性和方法,需要在声明里重新定义和使用 class School(object): def __init__(self, name, addr): self.name = n ...

  9. 一、Vue基础之常用方法

    一.JSON.parse() 与 JSON.stringify() 1.JSON.parse() :是从一个字符串中解析出 json 对象 //定义一个字符串 var data='{"nam ...

  10. LC 413. Arithmetic Slices

    A sequence of number is called arithmetic if it consists of at least three elements and if the diffe ...