c# - 在不使用 AuthorizeAttribute 的情况下将 AuthorizationPolicy 绑定到 Controller/Action
问题描述
我想向我的 .NET Core API 添加授权。假设我有一个具有以下操作的 PersonController:
GetPerson(根据 id 检索 Person)
PostPerson(添加一个新人)
DeletePerson(删除一个人)
[Route("[controller]")] [ApiController] public class PersonController : ControllerBase { [HttpGet("{id}")] public async Task<ActionResult<PersonModel>> GetPerson(int id) { // } [HttpPost] public async Task<ActionResult<PersonModel>> PostPerson(PersonModel model) { // } [HttpDelete("{id}")] public async Task<ActionResult> DeletePerson(int id) { // } }
对于这个例子,我将使用两个角色。' SuperAdmin ' 应该能够执行所有操作,而 ' PersonReader ' 应该只能执行 GetPerson 调用。尝试将 PostPerson 或 DeletePerson 作为 PersonReader 应该会失败。
我创建了以下授权策略:
options.AddPolicy("SuperAdmin", policy =>
policy.RequireAuthenticatedUser()
.RequireRole("SuperAdmin")
);
options.AddPolicy("PersonReader", policy =>
policy.RequireAuthenticatedUser()
.RequireRole("PersonReader")
);
但现在我想将这些策略绑定到控制器操作,说明需要哪些策略才能执行控制器操作。我知道这可以通过这样的 authorizationAttribute 来完成:[Authorize(Policy="X"]
但我希望能够在不使用 AuthorizationAttributes 的情况下做到这一点。
为什么我不能使用 [Authorize] 属性?
详细的我就不赘述了,但是Controller的源码是生成的。这意味着一旦再次生成,所有手动更改都将被覆盖。因此,授权不应在控制器中。
在startup.cs中,我将控制器映射到这样的端点:
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
可以为所有控制器绑定一个策略,如下所示:
endpoints.MapControllers().RequireAuthorization("SuperAdmin");
但这意味着我将需要所有控制器操作的“超级管理员”策略。有了这个,我无法为特定操作定义所需的策略。我希望做这样的事情:
// pseudo-code
// endpoints.MapControllerAction("GetPerson").RequireAuthorization("SuperAdmin", "PersonReader");
不幸的是,我找不到任何方法来做到这一点。有没有办法在不使用 [Authorize] 属性的情况下将策略绑定到控制器操作?
解决方案
您可以AuthorizeAttribute
通过应用程序模型约定以编程方式应用或任何其他类型的属性IApplicationModelConvention
。在那里你可以访问ApplicationModel
包含所有加载的控制器的根目录,你可以在AuthorizeAttribute
那里添加。每个控制器都由一个名为 的类表示ControllerModel
。它实现IFilterModel
了暴露列表的IFilterMetadata
. 该模型也实现ICommonModel
了,它公开了一个属性列表,但是这个列表是只读的。因此,要修改该列表,您可能必须创建一个新模型来覆盖旧模型,这相当复杂。每个动作都由ActionModel
which 表示,也实现IFilterModel
. 所以在这种情况下,我们不会尝试AuthorizeAttribute
通过将其添加到属性列表来应用 ,而是将其转换为AuthorizeFilter
这也是一个IFilterMetadata
,因此可以将其添加到 . 公开的过滤器列表中IFilterModel
。
下面是详细代码:
public class AuthorizeAttributeInjectingConvention : IApplicationModelConvention
{
readonly string _controller;
readonly string _action;
readonly AuthorizeFilter[] _authorizeFilters;
public AuthorizeAttributeInjectingConvention(string controllerName, params AuthorizeAttribute[] authorizeAttributes)
: this(controllerName, null, authorizeAttributes)
{
}
public AuthorizeAttributeInjectingConvention(string controllerName, string actionName, params AuthorizeAttribute[] authorizeAttributes)
{
_controller = controllerName;
_action = actionName;
_authorizeFilters = authorizeAttributes.Select(e => new AuthorizeFilter(new[] { e })).ToArray();
}
public void Apply(ApplicationModel application)
{
var filterModels = application.Controllers
.Where(e => string.Equals(e.ControllerName, _controller, StringComparison.OrdinalIgnoreCase))
.ToList<IFilterModel>();
if(filterModels.Count > 0 && !string.IsNullOrWhiteSpace(_action))
{
filterModels = filterModels.Cast<ControllerModel>()
.SelectMany(e => e.Actions.Where(o => string.Equals(o.ActionName, _action, StringComparison.OrdinalIgnoreCase)))
.ToList<IFilterModel>();
}
foreach(var filterModel in filterModels)
{
foreach(var af in _authorizeFilters)
{
filterModel.Filters.Add(af);
}
}
}
}
要注册IApplicationModelConvention
,您可以将实例添加到通过MvcOptions
. 为方便起见,我创建了一组这样的扩展方法:
public static class AuthorizeAttributeInjectionMvcOptionsExtensions
{
public static MvcOptions ApplyAuthorizeAttributes(this MvcOptions options, string controllerName, params AuthorizeAttribute[] authorizeAttributes)
{
return options.ApplyAuthorizeAttributes(controllerName, null, authorizeAttributes);
}
public static MvcOptions ApplyAuthorizeAttributes(this MvcOptions options, string controllerName, string actionName, params AuthorizeAttribute[] authorizeAttributes)
{
options.Conventions.Add(new AuthorizeAttributeInjectingConvention(controllerName, actionName, authorizeAttributes));
return options;
}
public static MvcOptions ApplyAuthorizationPolicy(this MvcOptions options, string controllerName, string actionName, params string[] policies)
{
return options.ApplyAuthorizeAttributes(controllerName, actionName, policies.Select(e => new AuthorizeAttribute(e)).ToArray());
}
}
现在在 中Startup.ConfigureServices
,您可以将AuthorizeAttribute
您选择的应用于特定的控制器或操作(通过其名称),如下所示:
services.AddMvc(o => {
//...
//by AuthorizeAttribute
var withSuperAdminAttr = new AuthorizeAttribute("SuperAdmin");
o.ApplyAuthorizeAttributes("your_controller", "your_action", withSuperAdminAttr);
//by policy
o.ApplyAuthorizationPolicy("your_controller", "your_action", "SuperAdmin");
//...
});
请注意,上面的代码并不完美,它介绍了您基本上可以如何实现它。您可以进一步改进的逻辑是如何过滤目标控制器和操作。在我的示例中,它只是根据控制器名称和操作名称进行过滤。我认为只要你有唯一的控制器名称和唯一的动作名称,这几乎可以工作。否则,在实际应用AuthorizeAttribute
.
推荐阅读
- python - 使用 Python3 每 5 分钟在 gtk.main 中运行一次函数
- java - 对具有一对多连接本机查询的第一个表使用 setMaxResults
- javascript - $injector.modulerr 问题
- python - python3 asyncio start_unix_server 权限
- javascript - Vimeo Froogaloop - 未检测到暂停
- c# - SOAP 响应反序列化不适用于本地客户端对象
- php - 正则表达式字符串必须仅包含某些子字符串并用空格分隔
- mysql - 在主目录中为多个数据库配置 .my.cnf 不起作用。适用于单个数据库
- android - 在 Viewpager 上加载详细数据
- typescript - 为什么 Typescript 不能对数组使用包含函数?