2. 程式人生 > 實用技巧 >Authentication and authorization (three)

Authentication and authorization (three)

阿新 發佈:2020-08-16

前言

在寫三上是在一的基礎上寫的,所以有沒有看過二是沒得關係的,在一中介紹了認證與授權,但是沒有去介紹拿到證書後怎樣去驗證授權。
概念性東西:在這套機制中,把這個許可權認證呢,稱作為policy。這個policy是怎麼樣的過程呢?
就像我前面說的,證書也認證了,policy做的是檢查你的證書中是否符合我心中的標準。
比如說,我有一個介面實行的是駕駛證檢查。結果你只有一張學生證,你不能那一張學生證當駕駛證去開車吧,肯定就不讓你訪問啊。
也許還有點迷糊,請看正文。正文皆為個人理解,如有錯誤,請指正。

正文

請看下面的:

services.AddAuthorization(config=> {
	var defaultAuthBuilder = new AuthorizationPolicyBuilder();
	var defaultPolicy = defaultAuthBuilder.RequireAuthenticatedUser().Build();
	config.DefaultPolicy = defaultPolicy;
});

這時候就是在配置授權了。
defaultAuthBuilder.RequireAuthenticatedUser().Build() 中,RequireAuthenticatedUser去要求使用者必須經過認證的,也就是不允許匿名使用者,這個很好理解。
設定預設的策略認證就是這個了。
這時候我訪問:
https://localhost:44350/Home/Secret
是正常的,因為我本來就是認證過的。
然後我改了一下:

services.AddAuthorization(config=> {
	var defaultAuthBuilder = new AuthorizationPolicyBuilder();
	var defaultPolicy = defaultAuthBuilder.RequireAuthenticatedUser().RequireClaim(ClaimTypes.Country).Build();
	config.DefaultPolicy = defaultPolicy;
});

和上面不同的,我加了RequireClaim(ClaimTypes.Country),我要求起碼有一個證書你要有國家。

我再次貼下證書的程式碼,在.net core 認證與授權(一)中也有。

var SchoolClaims = new List<Claim>()
{
	new Claim(ClaimTypes.Name,"Jack"),
	new Claim(ClaimTypes.Email,"[email protected]")
};

var LicensClaims = new List<Claim>()
{
	new Claim(ClaimTypes.Name,"Jack.li"),
	new Claim(ClaimTypes.Email,"[email protected]"),
	new Claim("begin","2000.10.1")
};
var SchoolIdentity = new ClaimsIdentity(SchoolClaims,"Student Identity");
var CarManagerIdentity = new ClaimsIdentity(LicensClaims, "Licens Identity");
var userPrincipal = new ClaimsPrincipal(new[] { SchoolIdentity, CarManagerIdentity });

HttpContext.SignInAsync("CookieAuth", userPrincipal);
return RedirectToAction("Index");

在兩個證書中,都沒得國家。
然後訪問:
https://localhost:44350/Home/Secret

自動跳轉到了一個授權沒有通過的網站,恰巧我沒有寫這個網頁,姑且著就是沒有通過的意思。
然後我再一個證書中添加了一個:

new Claim(ClaimTypes.Country,"china")

這樣我又成功了。
好的,這是預設的策略,那麼如何自定義呢?

config.AddPolicy("Claim.Country", policyBuilder =>
{
	policyBuilder.RequireClaim(ClaimTypes.Country);
});

上面我添加了一個策略,名字叫做Claim.Country.
因為不是預設,所以要[Authorize(Policy = "Claim.Country")]
policyBuilder 相當於上面的var defaultAuthBuilder = new AuthorizationPolicyBuilder();。
然後裡面去設定起碼有一個證書中要有國家。
policyBuilder 預設有一些限制可以使用,那麼如何自己來定義呢?究竟是一種什麼模式呢?

public class CustomRequireClaim:IAuthorizationRequirement
{
	public CustomRequireClaim(string ClainType)
	{
		this.ClainType = ClainType;
	}

	public string ClainType{ get; }
}

public class CustomRequireClaimHandler : AuthorizationHandler<CustomRequireClaim>
{
	protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomRequireClaim requirement)
	{
		var hasClaim = context.User.Claims.Any(u=>u.Type== requirement.ClainType);
		if (hasClaim)
		{
			context.Succeed(requirement);

		}
		return Task.CompletedTask;
	}
}

CustomRequireClaim 是什麼呢?繼承IAuthorizationRequirement。其實是模擬生活中的什麼呢,比如說你要向批發商進一匹東西,有一些需求,比如說蘋果要通紅的,你就可以在這裡填寫。
CustomRequireClaimHandler 繼承自AuthorizationHandler,批發商帶一批貨(程式也就是使用者帶著證書來了),你可以這個檢查合格不合格,拿著你的需求表對照。
那麼註冊進入:

config.AddPolicy("Claim.Country", policyBuilder =>
{
	policyBuilder.AddRequirements(new CustomRequireClaim(ClaimTypes.Country));
});

同樣需要:

services.AddScoped<IAuthorizationHandler, CustomRequireClaimHandler>();

這裡就有疑問了,你這個policyBuilder.AddRequirements(new CustomRequireClaim(ClaimTypes.Country));就能呼叫到CustomRequireClaimHandler。
這個疑問簡單化就是,你有一個需求,就只調用到檢查類?
其實是在軟體設計中,有這樣一種套路,就是根據實體類,能自動呼叫執行類,這是一種設計模式。其實也能理解,就是呢,比如說公司有一張請假單,都標明是請假單了,肯定交給部門經理啊,AuthorizationHandler
就是標記,處理CustomRequireClaim的。
在裡面其實只有IAuthorizationHandler,但是根據CustomRequireClaim能例項出CustomRequireClaimHandler。所以也需要加上:

services.AddScoped<IAuthorizationHandler, CustomRequireClaimHandler>();

同樣,回過頭來,看下面的。

policyBuilder.RequireClaim(ClaimTypes.Country);

如何做到直接點出來,不用這種add的方式呢?也就是說我也想實現這樣的。

policyBuilder.RequireCustomClaim(ClaimTypes.Country);

我要能RequireCustomClaim然後可以呼叫到我給的限制.
下面是使用擴充套件的方式實現:

public static class AuthorizationPolicyBuilderExtensions
{
	public static AuthorizationPolicyBuilder RequireCustomClaim(this AuthorizationPolicyBuilder policyBuilder,string claimType)
	{
		policyBuilder.AddRequirements(new CustomRequireClaim(claimType));
		return policyBuilder;
	}
}

擴充套件一下AuthorizationPolicyBuilder 就可以,這樣方便複用性。
以前的時候我們這樣寫:

[Authorize(Roles  = "admin")]

在這裡就會檢查我們的證書中是否有Roles 為admin。
然後呢,我們同樣可以通過policy去實現。

config.AddPolicy("Claim.Role", policyBuilder =>
{
	policyBuilder.RequireClaim(ClaimTypes.Role, "admin");
});

限制需要admin也是可以的,然後[Authorize(Policy= "Claim.Role")]。
具體看自己需求。

總結

後續繼續寫自己對認證授權理解。以上均為個人理解,如有誤差,請指正。

相關推薦

Authentication and authorization (three)

前言 在寫三上是在一的基礎上寫的,所以有沒有看過二是沒得關係的,在一中介紹了認證與授權,但是沒有去介紹拿到證書後怎樣去驗證授權。

Authentication and authorization (one)

前言 .net core web並不是一個非常新的架構,很多文章提及到認證與授權這個過程,但是一般都會提及到裡面的方法怎麼用的,而不是模擬一個怎樣的過程,所以我打算記錄自己的理解。

Authentication and authorization (two)

前言 這篇緊接著一來寫的,在第一篇中介紹了認證與授權,同時提出了這套機制其實就是模擬現實中的認證與授權。

Http Verb Tempering: Bypassing Web Authentication and Authorization(使用 HTTP 動詞篡改的認證旁路 )

Http Verb Tempering: Bypassing Web Authentication and Authorization(使用 HTTP 動詞篡改的認證旁路

使用 HTTP 動詞篡改的認證旁路 (Http Verb Tempering: Bypassing Web Authentication and Authorization

技術標籤:AppScan Http Verb Tempering: Bypassing Web Authentication and Authorization(使用 HTTP 動詞篡改的認證旁路

獲取組織服務報錯:Ws-Tust authentication which has been deprecated and no longer supported

我是微軟Dynamics 365 & Power Platform方面的工程師/顧問羅勇,也是2015年7月到2018年6月連續三年Dynamics CRM/Business Solutions方面的微軟最有價值專家(Microsoft MVP),歡迎關注我的微信公眾號 MSFTDynamic

Trouble Connecting to sql server Login failed. "The login is from an untrusted domain and cannot be used with Windows authentication"

Trouble Connecting to sql server Login failed. \"The login is from an untrusted domain and cannot be used with Windows authentication\"

HttpWebRequest client authentication with cert and key in pem format

HttpWebRequest client authentication 回答1 You need to convert your private key and pem certificate into #pkcs12 form:

.NET CORE Authentication Authorization .NET CORE 鑑權

.NET CORE 鑑權   基礎資訊 1.什麼是鑑權授權? 鑑權是驗證使用者是否擁有訪問系統的權利,授權是判斷使用者是否有許可權做一些其他操作。

iOS Jailbreak Principles 0x02 - codesign and amfid bypass

系列文章 iOS Jailbreak Principles - Undecimus 分析(一)Escape from Sandbox iOS Jailbreak Principles - Undecimus 分析(二)通過 String XREF 定位核心資料

動手實現MySQL讀寫分離and故障轉移

前言 久違了,由於最近新專案下來了,所以工作特別忙,導致遲遲沒更,上一篇發了手動搭建Redis叢集和MySQL主從同步(非Docker)之後,很多同學對文中主從結構提到的讀寫分離感興趣,本打算在雙十一期間直接把讀寫分離分

從零開始初嘗Three.js(大量案例、簡單入手)

不經意間看到了某個官網的動態效果~ 實在是太帥啦!十分地友好 查了查實現該效果地技術 —— 原來是Three.js

numpy.array shape (R, 1) and (R,) 的區別

翻譯自:stackoverflow 回答 By Gareth Rees 原問題 在 numpy 中,有些運算返回 shape 為 (R,1) 而有些返回 (R,)。由於需要顯式呼叫 reshape,這會讓矩陣乘法變得更加繁瑣。舉例來說,假設有一個矩陣 M,如果我們想執

LeetCode 841:鑰匙和房間 Keys and Rooms

題目: ​ 有 N 個房間,開始時你位於 0 號房間。每個房間有不同的號碼:0,1,2,...,N-1,並且房間裡可能有一些鑰匙能使你進入下一個房間。

Sentinel Getting Started And Integration of Spring Cloud Alibaba Tutorials

原文連結:Sentinel Getting Started And Integration of Spring Cloud Alibaba Tutorials Sentinel Getting Started And Integration of Spring Cloud Alibaba Tutorials

Joins in SQL - Inner, Outer, Left and Right

Join是SQL中一個非常基本的概念,有時會讓人感到困惑。當我們需要找到涉及多個表的屬性的查詢時,使用聯接,這些表具有至少一個共同的屬性。因此,Join 的需要本身就非常清楚。存在用於不同目的的不同型別的連線。原

解決大於5.7版本mysql的分組報錯Expression #1 of SELECT list is not in GROUP BY clause and contains nonaggregated

原因:    MySQL 5.7.5和up實現了對功能依賴的檢測。如果啟用了only_full_group_by SQL模式(在預設情況下是這樣),那麼MySQL就會拒絕選擇列表、條件或順序列表引用的查詢,這些查詢將引用組中未命名的非聚合列,而不

mysql 8.0 錯誤The server requested authentication method unknown to the client解決方法

mysql 安裝了最新版本8.0.11後建立使用者並授權後,授權的使用者連線資料庫提示

SQL語句中OR和AND的混合使用的小技巧

今天有這樣得一個需求,如果登陸人是客服的話,會查詢訂單是\'該客服\'以及還沒有匹配客服的,剛開始想的是直接在sql語句上拼寫 or assigned_id is null 的,測試了一下發現這樣的話,前面的其他條件都沒有用了

關於SQL語句中的AND和OR執行順序遇到的問題

問題 昨天在寫資料庫SQL的時候遇到一個問題。問題的根結在SQL語句的AND和OR關鍵字的執行優先順序問題。下面就針對這個問題進行一下測試。