c# - 在不使用 AuthorizeAttribute 的情况下将 AuthorizationPolicy 绑定到 Controller/Action

问题描述

我想向我的 .NET Core API 添加授权。假设我有一个具有以下操作的 PersonController：

GetPerson（根据 id 检索 Person）
PostPerson（添加一个新人）

DeletePerson（删除一个人）

 [Route("[controller]")]
 [ApiController]
 public class PersonController : ControllerBase
 {
     [HttpGet("{id}")]
     public async Task<ActionResult<PersonModel>> GetPerson(int id)
     {
         //
     }

     [HttpPost]
     public async Task<ActionResult<PersonModel>> PostPerson(PersonModel model)
     {
        //
     }

     [HttpDelete("{id}")]
     public async Task<ActionResult> DeletePerson(int id)
     {
        //
     }
 }

对于这个例子，我将使用两个角色。' SuperAdmin ' 应该能够执行所有操作，而 ' PersonReader ' 应该只能执行 GetPerson 调用。尝试将 PostPerson 或 DeletePerson 作为 PersonReader 应该会失败。

我创建了以下授权策略：

                options.AddPolicy("SuperAdmin", policy =>
                    policy.RequireAuthenticatedUser()
                    .RequireRole("SuperAdmin")
                );
                options.AddPolicy("PersonReader", policy =>
                    policy.RequireAuthenticatedUser()
                    .RequireRole("PersonReader")
                );

但现在我想将这些策略绑定到控制器操作，说明需要哪些策略才能执行控制器操作。我知道这可以通过这样的 authorizationAttribute 来完成：[Authorize(Policy="X"]但我希望能够在不使用 AuthorizationAttributes 的情况下做到这一点。

为什么我不能使用 [Authorize] 属性？
详细的我就不赘述了，但是Controller的源码是生成的。这意味着一旦再次生成，所有手动更改都将被覆盖。因此，授权不应在控制器中。

在startup.cs中，我将控制器映射到这样的端点：

app.UseEndpoints(endpoints =>
    {
        endpoints.MapControllers();
    });

可以为所有控制器绑定一个策略，如下所示：

endpoints.MapControllers().RequireAuthorization("SuperAdmin");

但这意味着我将需要所有控制器操作的“超级管理员”策略。有了这个，我无法为特定操作定义所需的策略。我希望做这样的事情：

// pseudo-code  
// endpoints.MapControllerAction("GetPerson").RequireAuthorization("SuperAdmin", "PersonReader");

不幸的是，我找不到任何方法来做到这一点。有没有办法在不使用 [Authorize] 属性的情况下将策略绑定到控制器操作？

标签： c#asp.net-coreauthorizationauthorize-attribute

解决方案

您可以AuthorizeAttribute通过应用程序模型约定以编程方式应用或任何其他类型的属性IApplicationModelConvention。在那里你可以访问ApplicationModel包含所有加载的控制器的根目录，你可以在AuthorizeAttribute那里添加。每个控制器都由一个名为的类表示ControllerModel。它实现IFilterModel了暴露列表的IFilterMetadata. 该模型也实现ICommonModel了，它公开了一个属性列表，但是这个列表是只读的。因此，要修改该列表，您可能必须创建一个新模型来覆盖旧模型，这相当复杂。每个动作都由ActionModelwhich 表示，也实现IFilterModel. 所以在这种情况下，我们不会尝试AuthorizeAttribute通过将其添加到属性列表来应用，而是将其转换为AuthorizeFilter这也是一个IFilterMetadata，因此可以将其添加到 . 公开的过滤器列表中IFilterModel。

下面是详细代码：

public class AuthorizeAttributeInjectingConvention : IApplicationModelConvention
{
    readonly string _controller;
    readonly string _action;
    readonly AuthorizeFilter[] _authorizeFilters;
    public AuthorizeAttributeInjectingConvention(string controllerName, params AuthorizeAttribute[] authorizeAttributes) 
        : this(controllerName, null, authorizeAttributes)
    {                  
    }
    public AuthorizeAttributeInjectingConvention(string controllerName, string actionName, params AuthorizeAttribute[] authorizeAttributes)
    {
        _controller = controllerName;
        _action = actionName;
        _authorizeFilters = authorizeAttributes.Select(e => new AuthorizeFilter(new[] { e })).ToArray();
    }

    public void Apply(ApplicationModel application)
    {
        var filterModels = application.Controllers
                                     .Where(e => string.Equals(e.ControllerName, _controller, StringComparison.OrdinalIgnoreCase))
                                     .ToList<IFilterModel>();
        if(filterModels.Count > 0 && !string.IsNullOrWhiteSpace(_action))
        {
            filterModels = filterModels.Cast<ControllerModel>()
                                       .SelectMany(e => e.Actions.Where(o => string.Equals(o.ActionName, _action, StringComparison.OrdinalIgnoreCase)))
                                       .ToList<IFilterModel>();
        }
        foreach(var filterModel in filterModels)
        {                
            foreach(var af in _authorizeFilters)
            {
                filterModel.Filters.Add(af);
            }
        }
    }
}

要注册IApplicationModelConvention，您可以将实例添加到通过MvcOptions. 为方便起见，我创建了一组这样的扩展方法：

public static class AuthorizeAttributeInjectionMvcOptionsExtensions
{
    public static MvcOptions ApplyAuthorizeAttributes(this MvcOptions options, string controllerName, params AuthorizeAttribute[] authorizeAttributes)
    {
        return options.ApplyAuthorizeAttributes(controllerName, null, authorizeAttributes);
    }
    public static MvcOptions ApplyAuthorizeAttributes(this MvcOptions options, string controllerName, string actionName, params AuthorizeAttribute[] authorizeAttributes)
    {
        options.Conventions.Add(new AuthorizeAttributeInjectingConvention(controllerName, actionName, authorizeAttributes));
        return options;
    }
    public static MvcOptions ApplyAuthorizationPolicy(this MvcOptions options, string controllerName, string actionName, params string[] policies)
    {
        return options.ApplyAuthorizeAttributes(controllerName, actionName, policies.Select(e => new AuthorizeAttribute(e)).ToArray());
    }        
}

现在在中Startup.ConfigureServices，您可以将AuthorizeAttribute您选择的应用于特定的控制器或操作（通过其名称），如下所示：

services.AddMvc(o => {
    //...

    //by AuthorizeAttribute
    var withSuperAdminAttr = new AuthorizeAttribute("SuperAdmin");
    o.ApplyAuthorizeAttributes("your_controller", "your_action", withSuperAdminAttr);

    //by policy
    o.ApplyAuthorizationPolicy("your_controller", "your_action", "SuperAdmin");
    //...
});

请注意，上面的代码并不完美，它介绍了您基本上可以如何实现它。您可以进一步改进的逻辑是如何过滤目标控制器和操作。在我的示例中，它只是根据控制器名称和操作名称进行过滤。我认为只要你有唯一的控制器名称和唯一的动作名称，这几乎可以工作。否则，在实际应用AuthorizeAttribute.

c# - 在不使用 AuthorizeAttribute 的情况下将 AuthorizationPolicy 绑定到 Controller/Action

问题描述

解决方案

推荐阅读