原文:https://chrissainty.com/securing-your-blazor-apps-configuring-policy-based-authorization-with-blazor/
在上一篇文章中,我展示了如何向Blazor WebAssembly(Blazor客戶端)應用程式添加基于角色的授權,在這篇文章中,我將向您展示如何使用Blazor配置基于策略的授權,
基于策略的授權
ASP.NET Core基于策略的授權允許一種更加靈活的方式來創建授權規則,策略授權由三個概念組成:
- Policy - 策略有一個或者多個要求,
- Requirement - 策略用于評估當前用戶主體的資料引數集合,
- Handler - 處理程式用于確定當前用戶主體是否有權訪問所請求的資源,
策略通常在應用程式啟動時在Startup類的ConfigureService方法中注冊,
services.AddAuthorization(config => { config.AddPolicy("IsDeveloper", policy => policy.RequireClaim("IsDeveloper", "true")); });
在上面的示例中,策略IsDeveloper要求用戶需要有IsDeveloper宣告,并且值為true,
與角色授權一樣,您一樣可以使用Authorize屬性應用于策略授權,
[Route("api/[controller]")] [ApiController] public class SystemController { [Authorize(Policy = “IsDeveloper”)] public IActionResult LoadDebugInfo() { // ... } }
Blazors指令和組件也一樣可以使用策略,
@page "/debug" @attribute [Authorize(Policy = "IsDeveloper")]
<AuthorizeView Policy="IsDeveloper"> <p>You can only see this if you satisfy the IsDeveloper policy.</p> </AuthorizeView>
更容易管理
基于策略的授權的最大優點就是改進應用程式中的授權管理,使用基于角色的授權,如果我們有兩個角色被允許訪問受保護資源 - 比如admin和moderator,我們需要在每個被允許的訪問的資源添加一個Authorize屬性,
[Authorize(Roles = "admin,moderator")]
這在一開始看起來不是很糟糕,但是如果出現一個新的需求,第三個角色superuser,需要相同的訪問權限,該怎么辦呢?現在我們需要在每個被訪問資源更新所有角色,通過基于策略的驗證,我們可以避免這種情況,
我們可以在一個定義一個策略,然后將其應用于需要它的所有資源,當需要添加額外角色時,我們只需更新這個策略,而不需要更新各個資源,
public void ConfigureServices(IServiceCollection services) { services.AddAuthorization(config => { config.AddPolicy("IsAdmin", policy => policy.RequireRole("admin", "moderator", "superuser")); }); }
[Authorize(Policy = "IsAdmin")]
創建自定義需求
策略授權非常靈活,您可以基于角色、宣告創建需求,甚至可以創建自定義需求,讓我們來看看如何創建自定義需求,
通常,當您有復雜的邏輯時,會使用自定義需求,如上所述,我們需要頂一個需求和一個處理程式來使用策略授權,
我們來創建一個檢查用戶的電子郵件地址是否使用公司域的需求,我們需要創建授權需求類,這個類需要實作IAuthorizationRequirement介面,這只是一個空的標記介面,
public class CompanyDomainRequirement : IAuthorizationRequirement { public string CompanyDomain { get; } public CompanyDomainRequirement(string companyDomain) { CompanyDomain = companyDomain; } }
接下來,我們需要為我們的需求創建一個繼承自AuthorizationHandler的處理程式,T就是要處理的需求,
public class CompanyDomainHandler : AuthorizationHandler<CompanyDomainRequirement> { protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CompanyDomainRequirement requirement) { if (!context.User.HasClaim(c => c.Type == ClaimTypes.Email)) { return Task.CompletedTask; } var emailAddress = context.User.FindFirst(c => c.Type == ClaimTypes.Email).Value; if (emailAddress.EndsWith(requirement.CompanyDomain)) { return context.Succeed(requirement); } return Task.CompletedTask; } }
在上面代碼中,我們檢查是否存在電子郵件宣告,如果存在,那么我們檢查它是否按要求中指定的域結束,如果是,則回傳成功,否則就是失敗,
我們只需要將我們的要求與一個策略關聯起來,并將CompanyDomainHandler注冊到依賴注入容器中,
public void ConfigureServices(IServiceCollection services) { services.AddAuthorization(config => { config.AddPolicy("IsCompanyUser", policy => policy.Requirements.Add(new CompanyDomainRequirement("newco.com"))); }); services.AddSingleton<IAuthorizationHandler, CompanyDomainHandler>(); }
要了解更多關于自定義要求的詳細資訊,建議查看官方檔案,
Blazor中使用策略
現在我們已經了解了什么是策略,讓我們看看如何在應用程式中使用它們,
我們將把上一篇文章的中Blazor應用程式切換到基于策略的授權,作為這項作業的一部分,我們將看到基于策略的授權的另一個優點,即能夠在共享專案中定義策略并在服務端和客戶端參考它們,
創建共享策略
在share專案中創建策略之前,我們需要先從NuGet安裝Microsoft.AspNetCore.Authorization這個包,
安裝之后,使用以下代碼創建一個名為Policies 的類,
public static class Policies { public const string IsAdmin = "IsAdmin"; public const string IsUser = "IsUser"; public static AuthorizationPolicy IsAdminPolicy() { return new AuthorizationPolicyBuilder().RequireAuthenticatedUser() .RequireRole("Admin") .Build(); } public static AuthorizationPolicy IsUserPolicy() { return new AuthorizationPolicyBuilder().RequireAuthenticatedUser() .RequireRole("User") .Build(); } }
我們首先定義了兩個常量IsAdmin和IsUser,我們將在注冊策略時候使用它們,接下來是策略本身,IsAdminPolicy和IsUserPolicy,這里我使用AuthorizationPolicyBuilder來定義每個策略,這兩個策略都需要用戶進行身份驗證,然后根據策略的不同,用戶可以是Admin角色和User角色,
配置服務端
現在我們已經定義了策略,我們需要讓服務端使用它們,首先,在Startup類中的ConfigureServices方法注冊策略,在AddAuthentication之后添加以下代碼,
services.AddAuthorization(config => {
config.AddPolicy(Policies.IsAdmin, Policies.IsAdminPolicy());
config.AddPolicy(Policies.IsUser, Policies.IsUserPolicy());
});
代碼非常容易理解,我們使用Policies類中定義的常量來宣告它們的名稱,并注冊每個策略,避免使用魔法字串,
在WeatherForecastController則可以使用IsAdmin策略代舊的角色,
[ApiController] [Route("[controller]")] [Authorize(Policy = Policies.IsAdmin)] public class WeatherForecastController : ControllerBase
同樣,我們可以使用名稱常量來避免魔法字串,
配置客戶端
現在服務端可以使用我們定義的新策略,接下來就是在Blazor客戶端使用他們,
和服務端一樣,我們也在在Startup類中的ConfigureServices方法注冊策略,之前我們已經呼叫了AddAuthorizationCore,所以只需要更新它,
services.AddAuthorizationCore(config => {
config.AddPolicy(Policies.IsAdmin, Policies.IsAdminPolicy());
config.AddPolicy(Policies.IsUser, Policies.IsUserPolicy());
});
在Index.razor,使用策略更新AuthorizeView組件 - 一樣要避免使用魔法字串,
<AuthorizeView Policy="@Policies.IsUser"> <p>You can only see this if you satisfy the IsUser policy.</p> </AuthorizeView> <AuthorizeView Policy="@Policies.IsAdmin"> <p>You can only see this if you satisfy the IsAdmin policy.</p> </AuthorizeView>
最后,更新FetchData.razor的Authorize屬性,
@attribute [Authorize(Policy = Policies.IsAdmin)]
就是這樣!我們的應用程式現在轉移到基于策略的授權,我們現在有一個更靈活的授權系統,可以使用角色、宣告、自定義策略或者上述任何組合,
關于服務端Blazor
我并沒有專門討論服務端Blazor,原因很簡單,我們上面所做的應該可以毫無問題的轉移到服務端Blazor,
總結
在這篇文章中,我們討論了ASP.NET Core和Blazor基于策略的授權,我們也了解了使用基于策略的授權相對于基于角色的授權的一些優點并且我們將應用程式從基于角色的驗證遷移到了基于策略的驗證,
最后還是代碼(GITHUB)
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/96240.html
標籤:.NET Core