0

我正在为内部授权目的创建身份验证和授权处理程序。我的目的是让我的同事可以轻松地将解决方案实施到他们自己的项目中。我们使用 Azure AD 进行身份验证,我们使用 Azure 组进行授权。为了做到这一点,我觉得我被困在弄清楚如何以有效的方式添加授权策略上。

现在,我在 Blazor webassembly 托管配置中的客户端项目的 Program 类中通过官方描述的方式添加它:

            builder.Services.AddAuthorizationCore(options =>
                options.AddPolicy("PolicyName", policy =>
                {
                    policy.RequireClaim("ClaimType", "ClaimValue");
                })
            );

这很好用,但并不直观,因为任何给定的项目都可能需要几种不同的策略

我还添加了一个自定义授权策略提供程序,如 Microsoft 的本文档中所述:

https://docs.microsoft.com/en-us/aspnet/core/security/authorization/iauthorizationpolicyprovider?view=aspnetcore-6.0

根据他们对本文档的描述,尤其是文档中的前几行,我认为这就是我要寻找的东西。但是如果没有手动添加每个策略,我似乎仍然无法让它按预期工作。

如果需要,我可以展示我的授权策略提供程序的自定义实现,但它与 Github 中的文档几乎完全一样。

4

1 回答 1

0

策略最常在应用程序启动时在StartupConfigureServices方法中注册。

public void ConfigureServices(IServiceCollection services)    
{
    services.AddAuthorization(config =>
    {
        config.AddPolicy("IsDeveloper", policy => policy.RequireClaim("IsDeveloper","true"));
       });
}

该策略IsDeveloper要求用户拥有IsDeveloper值为 的声明true

您可以通过Authorize属性应用策略的角色。

[Route("api/[controller]")]
[ApiController]
public class SystemController 
{
    [Authorize(Policy = “IsDeveloper”)]
    public IActionResult LoadDebugInfo()
    {
        // ...
    }
}

Blazors 指令和组件也适用于策略。

@page "/debug"
@attribute [Authorize(Policy = "IsDeveloper")]
< AuthorizeView Policy="IsDeveloper">
    < p>You can only see this if you satisfy the IsDeveloper policy.< /p>
< /AuthorizeView>

更轻松的管理

使用基于角色的身份验证,如果我们有几个角色可以访问受保护的资源 - 比如说adminmoderator. 我们需要去他们被允许访问的每个区域并添加一个Authorize属性。

[Authorize(Roles = "admin,moderator")]

最初这似乎并不算太​​糟糕,但是如果出现新需求并且第三个角色superuser, 需要相同的访问权限怎么办?我们现在需要遍历每个区域并更新所有角色。使用基于策略的身份验证,我们可以避免这种情况。

我们可以在一个地方定义一个策略,然后将它一次应用于所有需要它的资源。然后当需要添加额外的角色时,我们可以从中心点更新策略,而不需要更新单个资源。

 public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthorization(config =>
    {
    config.AddPolicy("IsAdmin", policy => policy.RequireRole("admin", "moderator", "superuser"));
    });
}
[Authorize(Policy = "IsAdmin")]

创建共享策略

为此,我们需要Microsoft.AspNetCore.Authorization从 NuGet 安装包。

之后创建一个Policies使用以下代码调用的新类。

public static class Policies
{
public const string IsAdmin = "IsAdmin";
public const string IsUser = "IsUser";
public static AuthorizationPolicy IsAdminPolicy()
{
    return new AuthorizationPolicyBuilder().RequireAuthenticatedUser()
                                           .RequireRole("Admin")
                                           .Build();
}

public static AuthorizationPolicy IsUserPolicy()
{
    return new AuthorizationPolicyBuilder().RequireAuthenticatedUser()
                                           .RequireRole("User")
                                           .Build();
}
}

在这里,我们使用AuthorizationPolicyBuilder来定义每个策略,两者都要求用户经过身份验证,然后根据策略处于Admin角色或User角色中。

配置服务器

ConfigureServices在类中注册策略Startup。在现有调用下添加以下代码AddAuthentication

services.AddAuthorization(config =>
{
    config.AddPolicy(Policies.IsAdmin, Policies.IsAdminPolicy());
    config.AddPolicy(Policies.IsUser, Policies.IsUserPolicy());
});

注册每个策略并使用我们在类中定义的常量Policies来声明它们的名称,这样可以节省使用魔术字符串。

如果我们移动到 ,SampleDataController我们可以更新Authorize属性以使用新IsAdmin策略而不是旧角色。

[Authorize(Policy = Policies.IsAdmin)]
[Route("api/[controller]")]
public class SampleDataController : Controller

同样,我们可以使用我们的名称常量来避免魔术字符串。

配置客户端

我们的服务器现在正在使用我们定义的新策略,剩下要做的就是交换我们的 Blazor 客户端以也使用它们。

与服务器一样,我们将从ConfigureServicesStartup类中注册策略开始。我们已经打了电话,AddAuthorizationCore所以我们只需要更新它。

services.AddAuthorizationCore(config =>
{
    config.AddPolicy(Policies.IsAdmin, Policies.IsAdminPolicy());
    config.AddPolicy(Policies.IsUser, Policies.IsUserPolicy());
});

Index.razor中,更新AuthorizeView组件以使用策略 - 仍然避免使用魔法字符串。

< AuthorizeView Policy="@Policies.IsUser">
    < p>You can only see this if you satisfy the IsUser policy.< /p>
< /AuthorizeView>
< AuthorizeView Policy="@Policies.IsAdmin">
    < p>You can only see this if you satisfy the IsAdmin policy.< /p>
< /AuthorizeView>

最后,更新FetchData.razorsAuthorize属性。

@attribute [Authorize(Policy = Policies.IsAdmin)]

参考这里

于 2021-11-18T06:32:11.733 回答