造轮子之自定义授权策略

合集 - asp.net core入门到造轮子(34)

1.asp.net core入门到造轮子-目录07-242.asp.net core之Startup07-243.asp.net core之依赖注入07-254.asp.net core之中间件07-265.asp.net core之Host07-276.asp.net core之Kestrel07-277.asp.net core之配置07-278.asp.net core之Options07-319.asp.net core之日志08-0110.asp.net core之路由08-0211.asp.net core之异常处理08-0312.asp.net core之HttpClient08-0413.asp.net core之实时应用08-0414.asp.net core之EfCore08-0715.造轮子之自动依赖注入10-0816.造轮子之日志10-0817.造轮子之统一业务异常处理10-0818.造轮子之统一请求响应格式10-0819.造轮子之缓存10-0820.造轮子之ORM集成10-0821.造轮子之asp.net core identity10-09

22.造轮子之自定义授权策略10-09

23.造轮子之权限管理10-1024.造轮子之多语言管理10-1125.造轮子之角色管理10-1226.造轮子之用户管理10-1227.造轮子之菜单管理10-1228.造轮子之属性注入配合懒加载构建服务抽象基类10-1229.造轮子之EventBus10-1230.造轮子之消息实时推送10-1331.造轮子之种子数据10-1632.造轮子之集成GraphQL10-1633.造轮子之设置管理10-1934.造轮子之文件管理10-23

收起

前面我们已经弄好了用户角色这块内容，接下来就是我们的授权策略。在asp.net core中提供了自定义的授权策略方案，我们可以按照需求自定义我们的权限过滤。
这里我的想法是，不需要在每个Controller或者Action打上AuthorizeAttribute，自动根据ControllerName和ActionName匹配授权。只需要在Controller基类打上一个AuthorizeAttribute，其他Controller除了需要匿名访问的，使用统一的ControllerName和ActionName匹配授权方案。
话不多说，开整。

IPermissionChecker#

首先我们需要一个PermissionChecker来作为检查当前操作是否有权限。很简单，只需要传入ControllerName和ActionName。至于实现，后续再写。

namespace Wheel.Authorization
{
    public interface IPermissionChecker
    {
        Task<bool> Check(string controller, string action);
    }
}

PermissionAuthorizationHandler#

接下来我们则需要实现一个PermissionAuthorizationHandler和PermissionAuthorizationRequirement，继承AuthorizationHandler抽象泛型类。

using Microsoft.AspNetCore.Authorization;

namespace Wheel.Authorization
{
    public class PermissionAuthorizationRequirement : IAuthorizationRequirement
    {
        public PermissionAuthorizationRequirement()
        {
        }

    }
}

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc.Controllers;
using Wheel.DependencyInjection;

namespace Wheel.Authorization
{
    public class PermissionAuthorizationHandler : AuthorizationHandler<PermissionAuthorizationRequirement>, ITransientDependency
    {
        private readonly IPermissionChecker _permissionChecker;

        public PermissionAuthorizationHandler(IPermissionChecker permissionChecker)
        {
            _permissionChecker = permissionChecker;
        }

        protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, PermissionAuthorizationRequirement requirement)
        {
            if (context.Resource is HttpContext httpContext)
            {
                var actionDescriptor = httpContext.GetEndpoint()?.Metadata.GetMetadata();
                var controllerName = actionDescriptor?.ControllerName;
                var actionName = actionDescriptor?.ActionName;
                if (await _permissionChecker.Check(controllerName, actionName))
                {
                    context.Succeed(requirement);
                }
            }
        }
    }
}

在PermissionAuthorizationHandler中注入IPermissionChecker。
然后通过重写HandleRequirementAsync进行授权策略的校验。
这里使用HttpContext获取请求的ControllerName和ActionName，再使用IPermissionChecker进行检查，如果通过则放行，不通过则自动走AspNetCore的其他AuthorizationHandler流程，不需要调用context.Fail方法。

PermissionAuthorizationPolicyProvider#

这里除了AuthorizationHandler，还需要实现一个PermissionAuthorizationPolicyProvider，用于在匹配到我们自定义Permission的时候，就使用PermissionAuthorizationHandler做授权校验，否则不会生效。

using Microsoft.AspNetCore.Authorization;
using Microsoft.Extensions.Options;
using Wheel.DependencyInjection;

namespace Wheel.Authorization
{
    public class PermissionAuthorizationPolicyProvider : DefaultAuthorizationPolicyProvider, ITransientDependency
    {
        public PermissionAuthorizationPolicyProvider(IOptions options) : base(options)
        {
        }
        public override async Task GetPolicyAsync(string policyName)
        {
            var policy = await base.GetPolicyAsync(policyName);
            if (policy != null)
            {
                return policy;
            }
            if (policyName == "Permission")
            {
                var policyBuilder = new AuthorizationPolicyBuilder(Array.Empty<string>());
                policyBuilder.AddRequirements(new PermissionAuthorizationRequirement());
                return policyBuilder.Build();
            }
            return null;
        }
    }
}

很简单，只需要匹配到policyName == "Permission"时，添加一个PermissionAuthorizationRequirement即可。

PermissionChecker#

接下来我们来实现IPermissionChecker的接口。

namespace Wheel.Permission
{
    public class PermissionChecker : IPermissionChecker, ITransientDependency
    {
        private readonly ICurrentUser _currentUser;
        private readonly IDistributedCache _distributedCache;

        public PermissionChecker(ICurrentUser currentUser, IDistributedCache distributedCache)
        {
            _currentUser = currentUser;
            _distributedCache = distributedCache;
        }

        public async Task<bool> Check(string controller, string action)
        {
            if (_currentUser.IsInRoles("admin"))
                return true;
            foreach (var role in _currentUser.Roles)
            {
                var permissions = await _distributedCache.GetAsyncstring>>($"Permission:R:{role}");
                if (permissions is null)
                    continue;
                if (permissions.Any(a => a == $"{controller}:{action}"))
                    return true;
            }
            return false;
        }
    }
}

通过当前请求用户ICurrentUser以及分布式缓存IDistributedCache做权限判断，避免频繁查询数据库。
这里ICurrentUser如何实现后续文章再写。
很简单，先判断用户角色是否是admin，如果是admin角色则默认所有权限放行。否则根据缓存中的角色权限进行判断。如果通过则放行，否则拒绝访问。

创建抽象Controller基类#

创建WheelControllerBase抽象基类，添加[Authorize("Permission")]的特性头部，约定其余所有Controller都继承这个控制器。

    [Authorize("Permission")]
    public abstract class WheelControllerBase : ControllerBase
    {
        
    }

接下来我们测试一个需要权限的API。




通过DEBUG可以看到我们正常走了校验并响应401。

就这样我们完成了我们自定义的授权策略配置。

轮子仓库地址https://github.com/Wheel-Framework/Wheel
欢迎进群催更。