2

我有一个项目,我在其中使用 IdentityServer4 和 PolicyServer.Local。IdentityServer4 已经有一个在数据库中存储必要数据的实现,但 PolicyServer 没有。

因此,我尝试自己实现它,并取得了成功,但从某种意义上说,我认为我正在取代大部分 PolicyServers 代码,这感觉并不好。

例如,我已经替换了所有 PolicyServers 实体类(策略、权限、角色)并添加了我自己的,这样我就可以解析列表属性,这一切都是因为实体框架基本上无法映射列表。

我还添加了自己的 PolicyServerRuntimeClient,因为我需要将 Evaluate-Methods 调整为新的实体类。

首先是我的 Startup.cs:

        services.AddDbContext<AuthorizeDbContext>(builder => 
            builder.UseSqlite(csAuthorizeContext, sqlOptions =>
                sqlOptions.MigrationsAssembly(migrationsAssembly)));

        services.AddScoped<IAuthorizeService, AuthorizeService>()
            .AddTransient<IPolicyServerRuntimeClient, CustomPolicyServerRuntimeClient>()
            .AddScoped(provider => provider.GetRequiredService<IOptionsSnapshot<Policy>>().Value);
        new PolicyServerBuilder(services).AddAuthorizationPermissionPolicies();

(AuthorizeService 用于从数据库中获取值)

例如,这是我的 Permission-、Roles- 和解决 mn 关系的 PermissionRoles-classes。

public class Permission
{
    [Key]
    public string Id { get; set; }

    [Required]
    public string Name { get; set; }

    [Required]
    [ForeignKey("Policy")]
    public string PolicyId { get; set; }

    public IList<PermissionRole> PermissionRoles { get; set; }
}

public class PermissionRole
{
    [Key]
    public string Id { get; set; }

    [Required]
    public string PermissionId { get; set; }

    public Permission Permission { get; set; }

    [Required]
    public string RoleId { get; set; }

    public Role Role { get; set; }
}

public class Role
{
    [Key]
    public string Id { get; set; }

    [Required]
    public string Name { get; set; }

    public IList<PermissionRole> PermissionRoles { get; set; }
}

这将是我在 CustomPolicyServerRuntimeClient 中的评估方法:

    public async Task<PolicyResult> EvaluateAsync(ClaimsPrincipal user)
    {
        if (user == null)
            throw new ArgumentNullException(nameof(user));

        var sub = user.FindFirst("sub")?.Value;

        if (String.IsNullOrWhiteSpace(sub))
            return null;

        var roles =  _auth.Roles
            .ToList()
            .Where(x => EvaluateRole(x, user))
            .Select(x => x.Name)
            .ToArray();

        var permissions = _auth.Permissions
            .ToList()
            .Where(x => EvaluatePermission(x, roles))
            .Select(x => x.Name)
            .ToArray();

        var result = new PolicyResult()
        {
            Roles = roles.Distinct(),
            Permissions = permissions.Distinct()
        };

        return await Task.FromResult(result);
    }

    internal bool EvaluateRole(Role role, ClaimsPrincipal user)
    {
        if (user == null)
            throw new ArgumentNullException(nameof(user));

        var subClaim = user.FindFirst("sub")?.Value;

        var subjectsOfDbRole = _auth.UserDetails
            .ToList()
            .Where(x => x.RoleId.Equals(role.Id))
            .Select(x => x.Subject)
            .ToList();

        return subjectsOfDbRole.Contains(subClaim);
    }

    public bool EvaluatePermission(Permission permission, IEnumerable<string> roles)
    {
        if (roles == null)
            throw new ArgumentNullException(nameof(roles));

        var permissionRoles = _auth.PermissionRoles
            .ToList()
            .Where(y => y.PermissionId.Equals(permission.Id))
            .ToList();

        if (permissionRoles.Any(x => roles.Contains(x.Role.Name)))
            return true;

        return false;
    }

这些是我为使其正常工作所做的主要更改。

在弄清楚如何正确执行此操作之前,我不想在后端做太多工作。

预期的结果是我可能只需要更换

        services.Configure<Policy>(configuration);

但最后我确实更换了比预期更多的方式。

4

1 回答 1

6

您不必更改 PolicyServer 中的任何内容,只需添加一个返回所需设置的新配置提供程序。PolicyServer 从 .NET Core 的配置基础结构中读取其配置。它不绑定到appsettings.json.

.NET Core可以通过提供程序从任何来源读取配置。这些提供者没有做任何复杂的事情,他们“只是”读取他们的实际来源,并以以下形式生成键/值字符串对:

"array:entries:0"= "value0"
"array:entries:1"= "value1"
"array:entries:2"= "value2"
"array:entries:4"= "value4"
"array:entries:5"= "value5"

appsettings.json没有特殊含义,它只是一个 JSON 文件,.NET Core 的JSON 配置提供程序从中读取键/值设置。该文件可以命名为任何名称。可以从字典、数据库、远程配置服务等加载相同的数据。

这本词典例如:

public static Dictionary<string, string> arrayDict = new Dictionary<string, string>
    {
        {"array:entries:0", "value0"},
        {"array:entries:1", "value1"},
        {"array:entries:2", "value2"},
        {"array:entries:4", "value4"},
        {"array:entries:5", "value5"}
    };

提供与此 JSON 文件相同的配置数据:

{
    "array" : {
        "entries" : [
            "value1",
            "value2",
            "value3",
            "value4",
            "value5"
        ]
    }
}

使用字典

您可以使用Memory configuration provider从字典中加载 PolicyServer 的设置。在您的配置部分,:

public static readonly Dictionary<string, string> _dict = 
    new Dictionary<string, string>
    {
        {"Policy:roles:0:name", "doctor"},
        {"Policy:roles:0:subjects:0", "1"},
        {"Policy:roles:0:subjects:1", "2"},
        {"Policy:roles:1:name", "patient"},
        {"Policy:roles:1:identityRoles:0", "customer"},
    };

public static void Main(string[] args)
{
    CreateWebHostBuilder(args).Build().Run();
}

public static IWebHostBuilder CreateWebHostBuilder(string[] args) =>
    WebHost.CreateDefaultBuilder(args)
        .ConfigureAppConfiguration((hostingContext, config) =>
        {
            config.AddInMemoryCollection(_dict);
        })
        .UseStartup<Startup>();

当您调用AddPolicyServerClient(Configuration.GetSection("Policy"))服务注册代码时,设置将来自该字典。

使用原始表

您可以创建自己的配置提供程序,如从表中检索设置的自定义配置提供程序中所示。ID/Value您必须将完整的密钥存储在ID字段中,这可能有点烦人,例如:

CREATE TABLE MyPolicySettings (ID varchar(200) PRIMARY KEY,value varchar(200))
INSERT INTO TABLE MyPolicySettings (ID,Value)
VALUES
("Policy:roles:0:name",            "doctor"},
("Policy:roles:0:subjects:0",      "1"),
("Policy:roles:0:subjects:1",      "2"),
("Policy:roles:1:name",            "patient"),
("Policy:roles:1:identityRoles:0", "customer");

使用英孚

另一种选择是将您的设置存储在适当的表中,例如 , RolesSubjectsIdentityRoles使用 ORM 加载整个结构。一旦你有了它,你将不得不重现关键结构,例如通过迭代迭代器中的对象:

public IEnumerable<KeyValuePair<string,string>> FlattenRoles(IEnumerable<MyRole> roles)
{
    int iRole=0;
    foreach(var role in roles)
    {           
        var rolePart=$"Policy:roles:{i}";
        var namePair=new KeyValuePair($"{rolePart}:name",role.Name);
        yield return namePair;
        int iSubject=0;
        foreach(var subjectPair in FlattenSubjects(role.Subject))
        {
            yield return subjectPair
        }
        //Same for identity roles etc
        iRole++;
    }
}

public IEnumerable<KeyValuePair<string,string>> FlattenSubjects(IEnumerable<MySubject> subjects,string rolePart)
{
    var pairs=subjects.Select((subject,idx)=>
              new KeyValuePair($"{rolePart}:subjects:{idx}",subject.Value);
    return pairs;
}

您的自定义配置提供程序可以使用它从数据库中加载强类型类,将它们展平并将它们转换为字典,例如:

public class MyPolicyConfigurationProvider: ConfigurationProvider
{
    public MyPolicyConfigurationProvider(Action<DbContextOptionsBuilder> optionsAction)
    {
        OptionsAction = optionsAction;
    }

    Action<DbContextOptionsBuilder> OptionsAction { get; }

    // Load config data from EF DB.
    public override void Load()
    {
        var builder = new DbContextOptionsBuilder<MyPoliciesContext>();

        OptionsAction(builder);

        using (var dbContext = new MyPoliciesContext(builder.Options))
        {
            var keys=FlattenRoles(dbContext.Roles);
            Data=new Dictionary<string,string>(keys);
        }
    }
}
于 2019-04-01T09:52:51.983 回答