1、前言

  但凡业务系统,授权是绕不开的一环。见过太多只在前端做菜单及按钮显隐控制,但后端裸奔的,觉着前端看不到,系统就安全,掩耳盗铃也好,自欺欺人也罢,这里不做评论。在.NET CORE中,也见过不少用操作过滤器来实现业务用例权限控制的,至少算是对后端做了权限控制。

  但我们知道,操作过滤器,已经算是过滤器管道中最靠后的,基本上紧挨着我们控制器方法执行那里了,本身,操作过滤器也不是做权限控制的地方,虽然本身它能达到权限控制效果。为什么这么说,试想下,在过滤器管道之前,还有中间件处理管道,即便是过滤器管道执行环节,操作过滤器也是最靠后的,它往前还有授权过滤器,资源过滤器等,假如我在资源过滤器中缓存了请求结果,那权限控制基本上就废了。

  说这么多,只想表达一点,合适的地方,合适的东西,干合适的事儿。在.NET CORE中,官方推荐用策略去实现授权。策略授权,是在授权中间件环节执行,当然能解决上述执行流程先后顺序的问题。但如果要直接应用于我们业务系统中的权限控制,恐怕远远不够,因为你不可能为每个api用例创建一个角色或策略,更主要的,权限控制还要动态授予或回收的,不做扩展直接照搬,你是很难搞的。接下来,我们就来看看,如何基于core的授权机制,去实现我们传统的用户,角色,权限,及权限的动态授予与回收控制。

2、实现

  我们先看看,菜单表概览:

  查询中IsMenu代表是侧边栏菜单还是功能按钮,这里我把按钮级别的给筛选出来了,每个按钮菜单都代表一个业务用例,也对应我们一个控制器方法。 Code是唯一的,待会儿权限控制标识,会采用这个字段。当然你用主键ID也可以,但比较难记。实际运维中,会把这些菜单按照业务分配给指定角色,再把指定角色分配给系统用户。

  接下来,定义一个Requirement,以权限码作为主校验对象:

public class PermissionRequirement : IAuthorizationRequirement

    {

        public PermissionRequirement(params string[] codes)

        {

            this.Codes = codes;

        }

        public string[] Codes { get; private set; }

    }

  有Requirement,自然有RequirementHandler:

 public class PermissionHandler : AuthorizationHandler<PermissionRequirement>

     {

         private readonly IMenuService _menuService;

         public PermissionHandler(IMenuService menuService)

         {

             _menuService = menuService;

         }

         protected override async Task HandleRequirementAsync(

             AuthorizationHandlerContext context,

             PermissionRequirement requirement)

         {

             var roles = context.User.Claims.FirstOrDefault(x => x.Type == ClaimTypes.Role).Value;

             if (!string.IsNullOrWhiteSpace(roles))

             {

                 var roleIds = roles.Split(',', StringSplitOptions.RemoveEmptyEntries)

                     .Select(x => long.Parse(x));

                 if (roleIds.Contains())

                 {

                     context.Succeed(requirement);

                     return;

                 }

                 var menus = await _menuService.GetMenusByRoleIds(roleIds.ToArray());

                 if (menus.Any())

                 {

                     var codes = menus.Select(x => x.Code.ToUpper());

                     if (requirement.Codes.Any(x => codes.Contains(x.ToUpper())))

                     {

                         context.Succeed(requirement);

                     }

                 }

             }

         }

     }

  逻辑比较常规,根据当前用户角色,获取其所有菜单权限,然后与Requirement中声明要求的菜单权限做对比,如果含有,则放行。到这儿,大家应该都能看懂,典型的.NET CORE权限控制组件。

  接下来,定义一个授权过滤器特性:

 public class PermissionFilter : Attribute, IAsyncAuthorizationFilter

     {

         private readonly IAuthorizationService _authorizationService;

         private readonly PermissionRequirement _requirement;

         public PermissionFilter(IAuthorizationService authorizationService, PermissionRequirement requirement)

         {

             _authorizationService = authorizationService;

             _requirement = requirement;

         }

         public async Task OnAuthorizationAsync(AuthorizationFilterContext context)

         {

             var result = await _authorizationService.AuthorizeAsync(context.HttpContext.User, null, _requirement);

             if (!result.Succeeded)

             {

                 context.Result = new JsonResult("您没有此操作权限")

                 {

                     StatusCode = (int)HttpStatusCode.Forbidden

                 };

             }

         }

     }

  从这儿开始,我估计有人就要看不懂了,下边解释下。首先,PermissionFilter是个授权过滤器,它实现了IAsyncAuthorizationFilter,所以会作为过滤器管道第一道去执行。构造函数中有2个参数,IAuthorizationService直接注入,PermissionRequirement则通过特性标记外部设置。在OnAuthorizationAsync重写方法中,调用IAuthorizationService.AuthorizeAsync方法去做具体授权校验工作,经此桥接,授权流程就转到我们最开始定义的PermissionHandler去了。本身core源码中,IAuthorizationService是在授权中间件中使用到的,这里我借用了。注意,一旦过滤器注入了服务,那此过滤器便不再能够直接以打标记的形式贴在控制器或方法上了,那种形式必须所有参数都直接指定。core中给出的方案,是TypeFilter,涉及到服务注入的时候。

  那接下来,就是另一个重要对象了:

/// <summary>

    /// 权限特性

    /// </summary>

    public class PermissionAttribute : TypeFilterAttribute

    {

        public PermissionAttribute(params string[] codes)

            : base(typeof(PermissionFilter))

        {

            Arguments = new[] { new PermissionRequirement(codes) };

        }

    }

  至此,各组件定义完毕,那我们使用就类似下边这样:

3、效果演示

  guokun用户角色:

网站管理员角色对应权限:

  可以看到,是没有勾选删除部门的,那我们用这个账户来删除下部门:

  状态码403,并提示无权操作,删除动作已经被拦截了。那我们把删除权限赋予网站管理员:

  接下来再来删除:

  可以看到,已经删除部门成功。

3、总结

  以上便是本项目权限控制的实现。认证&授权这块儿,如果要做好,还是得把core的整套机制弄清楚,最好能把源码过一遍,不然根本搞不清楚需要怎么扩展,每个扩展点在什么时机触发及生效。

Core + Vue 后台管理基础框架3——后端授权的更多相关文章

  1. Core + Vue 后台管理基础框架4——前端授权

    1.前言 上篇,我们讲了后端的授权.与后端不同,前端主要是通过功能入口如菜单.按钮的显隐来控制授权的.具体来讲,就是根据指定用户的制定权限来加载对应侧边栏菜单和页面内的功能按钮.我们一个个来讲. 2. ...

  2. Core + Vue 后台管理基础框架0——开篇

    1.背景 最近,打算新开个项目,鉴于团队技术栈,选型.net core + vue,前后端分离.本打算捡现成的轮子的,github上大致逛了逛,总发现这样那样的不太适合心中那些“完美实践”,例如:Ab ...

  3. Core + Vue 后台管理基础框架2——认证

    1.前言 这块儿当时在IdentityServer4和JWT之间犹豫了一下,后来考虑到现状,出于3个原因,暂时放弃了IdentityServer4选择了JWT: (1)目前这个前端框架更适配JWT: ...

  4. Core + Vue 后台管理基础框架1——运行系统

    1.down源码 git clone https://github.com/KINGGUOKUN/SystemManagement.git,项目目录如下: 2.还原数据库 找到项目根目录下System ...

  5. Core + Vue 后台管理基础框架8——Swagger文档

    1.前言 作为前后端分离的项目,或者说但凡涉及到对外服务的后端,一个自描述,跟代码实时同步的文档是极其重要的.说到这儿,想起了几年前在XX速运,每天写完代码,还要给APP团队更新文档的惨痛经历.给人家 ...

  6. Core + Vue 后台管理基础框架9——统一日志

    1.背景 前阵子有园友留言,提到日志相关的东西,同时,最近圈子里也有提到日志这个东西.一个充分.集中的统一日志平台还是很有必要的,否则系统出问题了只能靠猜或者干瞪眼.何谓充分,日志记录满足最低要求.出 ...

  7. Core + Vue 后台管理基础框架7——APM

    1.前言 APM,又称应用性能统计,主要用来跟踪请求调用链,每个环节调用耗时,为我们诊断系统性能.定位系统问题提供了极大便利.本系统采用的是Elastic Stack体系中的APM,主要是之前部门搞P ...

  8. hsweb 企业后台管理基础框架

    hsweb 详细介绍 业务功能 现在: 权限管理: 权限资源-角色-用户. 配置管理: kv结构,自定义配置.可通过此功能配置数据字典. 脚本管理: 动态脚本,支持javascript,groovy, ...

  9. 基于bootstrap的漂亮网站后台管理界面框架汇总

    基于bootstrap的漂亮网站后台管理界面框架汇总 10个最新的 Bootstrap 3 管理模板 这里分享的 10 个模板是从最新的 Bootstrap 3 管理模板集合中挑选出来的,可以帮助你用 ...

随机推荐

  1. python Ajax的使用

    转自:http://www.cnblogs.com/python-study/p/6060530.html 1.使用Ajax在后台传递参数的示例 要使用Ajax传递参数,需要使用jquery,使用jq ...

  2. python多进程之IPC机制以及生产者消费者模型

    1.进程间通信(IPC机制) 第一种:管道 import subprocessres=subprocess.Popen('dir',shell=True, stdout=subprocess.PIPE ...

  3. deepin 更改默认网卡名称为eth和wlan

    deepin 更改默认的网卡名称为eth和无线网卡名wlan vim /etc/default/grub 在 GRUB_CMDLINE_LINUX_DEFAULT="sqlash quiet ...

  4. maven命令-P 参数引发的思考

    参考文档: https://blog.csdn.net/haiyuntai/article/details/53260191 谢谢原作者 maven 命令:clean package -Dmaven. ...

  5. ZOJ-1177-K-Magic Number

    就是分别以1到9作为开头构造结果,取最小答案.看了参考书之后才做出来,对参考书上的代码进行了一些改进 Accepted 1177 C++11 0 408 #include "bits/std ...

  6. Jacoco代码覆盖率工具

    https://www.cnblogs.com/fnng/p/7923314.html https://my.oschina.net/wangmengjun/blog/974067

  7. 关于unicode汉字范围正则表达式的写法

    \u2E80-\u2EFF:CJK部首补充: \u2F00-\u2FDF:康熙部首: \u3000-\u303F:CJK标点符号: \u31C0-\u31EF:CJK笔划: \u3200-\u32FF ...

  8. Win32下双缓冲绘图技术

    一:双缓冲原理 为了解决窗口刷新频率过快所带来的闪烁问题,利用双缓冲技术进行绘图.所谓双缓冲技术,就是将资源加载到内存,然后复制内存数据到设备DC(这个比较快),避免了直接在设备DC上绘图(这个比较慢 ...

  9. ACID原则

    ACID原则是数据库事务正常执行的四个,分别指原子性.一致性.独立性及持久性. 事务的原子性(Atomicity)是指一个事务要么全部执行,要么不执行.也就是说一个事务不可能只执行了一半就停止了.比如 ...

  10. Mac 环境docker 安装jenkins

    网上很多的教程是讲的是Linux 上的Docker安装Jenkins,但是我用的是Mac,所以参考之前的前辈写的文章,记录一下自己的安装过程.非常感谢参考文章的前辈写的文章. 参考Docker安装Je ...