asp.net core mvc許可權控制:分配許可權
引用網址:https://www.cnblogs.com/dxp909/p/6389198.html
前面的文章介紹瞭如何進行許可權控制,即訪問控制器或者方法的時候,要求當前使用者必須具備特定的許可權,但是如何在程式中進行許可權的分配呢?下面就介紹下如何利用Microsoft.AspNetCore.Identity.EntityFrameworkCore框架進行許可權分配。
在介紹分配方法之前,我們必須理解許可權關係,這裡面涉及到三個物件:使用者,角色,許可權,許可權分配到角色,角色再分配到使用者,當某個使用者屬於某個角色後,這個使用者就具有了角色所包含的許可權列表,比如現在有一個資訊管理員角色,這個角色包含了資訊刪除許可權,當張三這個使用者具有資訊管理員角色後,張三就具備了資訊刪除的許可權。在某些特殊場景下,許可權也可以直接分配到使用者,也就是說可以直接把某些特定的許可權,繞過角色,直接分配給使用者。Microsoft.AspNetCore.Identity.EntityFrameworkCore框架中都提供了這樣的支援。
先把框架中主要的業務物件類介紹一下:
IdentityUser:表示一個使用者資訊
IdentityRole:表示一個角色資訊
IdentityRoleClaim<TKey>:表示角色具有的許可權
IdentityUserClaim<TKey>:表示使用者具有的許可權
IdentityUserRole<TKey>:表示使用者角色關係
基本概念理解後,下面我們就來看一下如何進行許可權分配。
1,分配許可權到角色:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了RoleManager類,類中提供了把許可權分配到角色的方法:
Task<IdentityResult> AddClaimAsync(TRole role, Claim claim)
第一個引數表示對應的角色物件,第二個引數表示一個許可權資訊
2,分配許可權到使用者:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了UserManager類,類中提供了把許可權分配到使用者的方法:
Task<IdentityResult> AddClaimAsync(TUser user, Claim claim)
第一個引數表示對應的使用者物件,第二個引數表示一個許可權資訊
3,分配使用者到角色:用到的同樣是UserManager類,使用的方法:
AddToRoleAsync(TUser user, string role)
第一個引數表示的是使用者物件,第二個是角色的名稱
4,獲取角色當前具有的許可權列表:
Task<IList<Claim>> RoleManager.GetClaimsAsync(TRole role)
5,獲取使用者當前具有的許可權列表:
Task<IList<Claim>> UserManager.GetClaimsAsync(TUser user)
通過這樣的方式就可以完成許可權分配全過程,再結合前面的許可權控制方法,系統就實現了完成的許可權控制邏輯。
那現在的問題來了,許可權列表從什麼地方來?一般來說,一個業務系統功能確定後,對應的許可權列表也自然就確定了,再實現分配許可權到角色,分配許可權到使用者的功能時,只需要在頁面上把所有的許可權列出來進行選擇即可,效果圖如下:
把選擇的資料呼叫對應的方法儲存即可。
這個問題解決了,但是新的問題又來了。如果說一個業務功能點特別多,自然會導致許可權也會很多,如果完全通過手工的方式寫到頁面上,那自然工作量會很大很大,再者業務系統可能會不斷地變化,這個時候也會去不斷地修改許可權分配頁面,這自然不是一個好的方法,下面我給大家說一個我想的一個方法,不一定是最好的,但是能省很大的事。
首秀我們需要解決的問題是,如何快速生成這個許可權配置列表。
思路就是改造AuthorizeAttribute,在這個特性基礎上增加許可權描述資訊,用許可權描述資訊作為Policy。下面直接上程式碼:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 |
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple =true, Inherited =true)] //類名稱可以改,因為我把系統操作當作資源來管理
publicclassResourceAttribute:AuthorizeAttribute
{
privatestring_resouceName;
privatestring_action;
publicResourceAttribute(stringname)
{
if(string.IsNullOrEmpty(name))
{
thrownewArgumentNullException(nameof(name));
}
_resouceName = name;
//把資源名稱設定成Policy名稱
Policy = _resouceName;
}
publicstringGetResource()
{
return_resouceName;
}
publicstringAction
{
get
{
return_action;
}
set
{
_action = value;
if(!string.IsNullOrEmpty(value))
{ //把資源名稱跟操作名稱組裝成Policy
Policy = _resouceName +"-"+ value;
}
}
}
}
|
類已經定義好了,那我們就看看如何使用,因為是特性定義,所以可以在控制器類或者方法上按照下面結構使用:
[Resource("組織架構", Action = "新增部門")]
到這裡基礎工作已經做完,下面還有兩個問題需要解決:
1,Policy現在只是配置了名稱,但是具體驗證規則沒有定義
2,如何獲取所有的許可權列表
先來看第一個問題,前面的文章介紹了,Policy需要提前在startup裡通過AddAuthorization進行配置,但是現在我們並沒有做這樣的步驟,所以目前許可權還不會起作用。框架在許可權驗證的時候,會依賴一個IAuthorizationPolicyProvider來根據Policy名稱獲取具體的規則,自然我們會想到自定義一個IAuthorizationPolicyProvider實現,程式碼如下:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 |
publicclassResourceAuthorizationPolicyProvider : IAuthorizationPolicyProvider
{
privateAuthorizationOptions _options;
publicResourceAuthorizationPolicyProvider(IOptions<AuthorizationOptions> options)
{
if(options ==null)
{
thrownewArgumentNullException(nameof(options));
}
_options = options.Value;
}
publicTask<AuthorizationPolicy> GetDefaultPolicyAsync()
{
returnTask.FromResult(_options.DefaultPolicy);
}
publicTask<AuthorizationPolicy> GetPolicyAsync(stringpolicyName)
{
AuthorizationPolicy policy = _options.GetPolicy(policyName); //因為我們policy的名稱其實就是對應的許可權名稱,所以可以用下列邏輯返回需要的驗證規則
if(policy ==null)
{
string[] resourceValues = policyName.Split(newchar[] {'-'}, StringSplitOptions.None);
if(resourceValues.Length == 1)
{
_options.AddPolicy(policyName, builder =>
{
builder.AddRequirements(newClaimsAuthorizationRequirement(resourceValues[0],null));
});
}
else
{
_options.AddPolicy(policyName, builder =>
{
builder.AddRequirements(newClaimsAuthorizationRequirement(resourceValues[0],newstring[] { resourceValues[1] }));
});
}
}
returnTask.FromResult(_options.GetPolicy(policyName));
}
}
|
實現了IAuthorizationPolicyProvider,我們就需要在startup.cs的ConfigureServices(IServiceCollection services)方法中進行註冊,操作如下:
| 1 |
services.TryAdd(ServiceDescriptor.Transient<IAuthorizationPolicyProvider, ResourceAuthorizationPolicyProvider>());
|
再來看第二個問題,我們已經在控制器或者方法上定義了許可權資訊,關鍵是我們如何從這些特性裡獲取到許可權列表,將來用於許可權分配的時候使用。在asp.net core mvc中提供了一個類解析機制,IApplicationModelProvider,這個依賴資訊比較多,這裡就不過多介紹,後續我會單獨開一個系列,介紹asp.net core mvc的內部機制。
直接上程式碼
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 |
publicclassResourceApplicationModelProvider : IApplicationModelProvider
{
privatereadonlyIAuthorizationPolicyProvider _policyProvider;
publicResourceApplicationModelProvider(IAuthorizationPolicyProvider policyProvider)
{
_policyProvider = policyProvider;
}
publicvoidOnProvidersExecuted(ApplicationModelProviderContext context)
{
}
publicvoidOnProvidersExecuting(ApplicationModelProviderContext context)
{
if(context ==null)
{
thrownewArgumentNullException(nameof(context));
}
List<ResourceAttribute> attributeData =newList<ResourceAttribute>(); //迴圈獲取所有的控制器
foreach(varcontrollerModelincontext.Result.Controllers)
{ //得到ResourceAttribute
varresourceData = controllerModel.Attributes.OfType<ResourceAttribute>().ToArray();
if(resourceData.Length > 0)
{
attributeData.AddRange(resourceData);
}
//迴圈控制器方法
foreach(varactionModelincontrollerModel.Actions)
{//得到方法的ResourceAttribute
varactionResourceData = actionModel.Attributes.OfType<ResourceAttribute>().ToArray();
if(actionResourceData.Length > 0)
{
attributeData.AddRange(actionResourceData);
}
}
}
//把所有的resourceattribute的資訊寫到一個全域性的resourcedata中,resourcedata就可以在其他地方進行使用,resourcedata定義後面補充
foreach(variteminattributeData)
{
ResourceData.AddResource(item.GetResource(), item.Action);
}
}
publicintOrder {get{return-1000 + 11; } }
}
|
resourcedata定義如下
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
publicclassResourceData
{
staticResourceData()
{
Resources =newDictionary<string, List<string>>();
}
publicstaticvoidAddResource(stringname)
{
AddResource(name,"");
}
publicstaticvoidAddResource(stringname,stringaction)
{
if(string.IsNullOrEmpty(name))
{
return;
}
if(!Resources.ContainsKey(name))
{
Resources.Add(name,newList<string>());
}
if(!string.IsNullOrEmpty(action) && !Resources[name].Contains(action))
{
Resources[name].Add(action);
}
}
publicstaticDictionary<string, List<string>> Resources {get;set; }
}
|
然後在startup中註冊我們剛剛定義的IApplicationModelProvider:
| 1 |
services.TryAddEnumerable(ServiceDescriptor.Transient<IApplicationModelProvider, ResourceApplicationModelProvider>());
|
然後在許可權分配頁面通過ResourceData.Resources就獲取到了所有的許可權資訊,然後通過迴圈的方式直接顯示到頁面上即可。
終於寫完了,哈哈~~
附上例項程式碼:https://files.cnblogs.com/files/dxp909/AuthorizeSample.rar