Identity Server 4 - Hybrid Flow - 使用ABAC保护MVC客户端和API资源

这个系列文章介绍的是Identity Server 4 实施 OpenID Connect 的 Hybrid Flow. 

保护MVC客户端: Identity Server 4 - Hybrid Flow - MVC客户端身份验证,  Identity Server 4 - Hybrid Flow - Claims

保护API资源(这里用到了RBAC: Role-based Access Control 基于角色的访问权限控制 官方文档): https://www.cnblogs.com/cgzl/p/9276278.html

本文介绍如何使用ABAC (Attribute-based Access Control 基于属性的访问权限控制)保护API资源.

相关代码: https://github.com/solenovex/Identity-Server-4-Tutorial-Code 里面04那部分.

ABAC

ABAC, Attribute-based Access Control, 基于属性的访问权限控制. 有时会把它叫做CBAC, Claim-based Access Control (官方文档)或 PBAC, Policy-based Access Control (官方文档). 它们表达的都差不多是一个意思 (尽管ASP.NET Core官方文档把它们分成两页介绍).

RBAC vs ABAC

640?wx_fmt=png

ABAC允许复杂的权限规则.

 

代码实现

首先可以再添加一个国籍的IdentityResource (scope):

640?wx_fmt=jpeg

 

然后配置Client, 允许其请求上面这个scope:

640?wx_fmt=png

 

配置API资源, 后边我需要用到nationality和gender:

640?wx_fmt=png

 

最后再TestUser里面添加一个nationality的claim, 再添加一个gender(性别)的claim:

640?wx_fmt=png

(这里我添加了一个Kevin用户, 后边会用)

这里的gender 这个claim是在profile scope里面预定的, 所以我无需再定义一个包括gender的scope.

 

然后切换到MVC客户端项目, 首先要把nationality这个scope添加到需要请求的scopes里面:

640?wx_fmt=jpeg

这样的话国籍就可以通过用户信息端点返回了.

 

由于在MVC客户端里面需要识别出国籍这个Identity Claim, 所以需要做一下映射:

640?wx_fmt=png

 

接下来就可以创建策略了, 还是在Startup的ConfigureServices里:

640?wx_fmt=png

调用services.AddAuthorization()方法, 在它的参数里可以进行配置.

随后使用AddPolicy()定义了一个策略, 然后在这个方法里对这个策略进行了配置. 它的名字是"CanViewAbout".

首先这个策略要求用户已经通过身份认证, 然后国籍claim的值是"China", 性别是女性.

 

这里面使用的都是内置的策略选项, 适合相对不太复杂的规则.

其中RequireClaim()可以填写多个候选值:

640?wx_fmt=png

在这里也可以使用RequireRole()方法, 所以角色也可以参与进来. 

 

最后在MVC的HomeController的AboutAction上面:

640?wx_fmt=png

两种写法都是使用的策略(Policy).

使用策略的好处就是, 规则改变的时候, 无需修改Controller里面的代码, 只需要修改策略的配置即可.

 

下面测试一下MVC客户端:

640?wx_fmt=png

登录的是Nick, 她符合策略:

640?wx_fmt=jpeg

 

再登入Dave试试, 他不符合策略, 所以结果是Forbidden:

640?wx_fmt=png

 

如果需要在cshtml里面使用策略的话, 请使用(await AuthorizationServices.AuthorizeAsync(User, "CanViewAbout")).Succeeded, 这个方法.

不过现在要cshtml里面注入这个服务: @inject IAuthorizationService AuthorizationService.

 

扩展授权策略

使用内置的策略选项可以处理一些比较简单的规则, 但是针对复杂一点的规则, 就需要对策略进行扩展了.

ASP.NET Core的这部分文档介绍了这方面的内容: https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-2.1

 

用下图解释一下整个授权的结构:

640?wx_fmt=png

一个Action可以附加多个授权策略, 它们必须都被满足.

每个策略可以有多个要求(Requirement), 这些要求可以通过内置的选项来制定, 也可以使用自定义的要求, 自定义的Requirement需要实现IAuthorizationRequirement接口.

每个Requirement都有一个或多个处理者(Handlers), 这些handlers派生于AuthorizationHandler<T>, T就是Requirement的类型. 下面要注意:

如果其中任意一个handler返回Succeed(成功), 而所有的handler都没有返回失败, 那么这个Requirement就被满足了. 所以handler的处理结果有三种情况: 明确的成功, 明确的失败, 没有明确指出是成功还是失败.

 

代码实现

前一部分保护的是MVC客户端, 那么这一部分就来保护API吧.

现在API项目里建立一个Requirement:

640?wx_fmt=png

它的构造函数可以传递一些参数进来, 但是我这个例子并不需要.

 

然后建立一个Handler:

640?wx_fmt=png

里面就是一些判断逻辑. AuthorizationHandlerContext.Resource可以转化为AuthorizationFilterContext, 它里面有很多东西, 这个可以查看文档.

如果它是空的, 那么就返回明确的失败.

随后取出用户的gender和nationality, 分别有两种情况可以满足需求, 明确的设置成功. 其它的情况就直接返回, 如果有其它handler存在, 就依赖于其它handler的结果了.

但是如果这个handler成功了, 但是有其它handler是失败的, 那么最终还是没有满足这个requirement.

 

最后在API的startup里面注册:

640?wx_fmt=png

注册Handler的时候选择的生命周期是Singleton, 但是如果Handler里面例如注入了Repository, 那么可以生命周期可以改为Scoped.

 

最后在API的Controller里设置权限策略:

640?wx_fmt=png

 

测试, 使用Nick和Dave都应该可以在Contact页面查询出Country资源的数据:

640?wx_fmt=jpeg

 

但是Kevin就没有权限访问API了:

640?wx_fmt=jpeg

 

Hybrid Flow先介绍到这. 有空再介绍下Implicit....

原文地址:http://www.cnblogs.com/cgzl/p/9282059.html

.NET社区新闻,深度好文,欢迎访问公众号文章汇总 http://www.csharpkit.com

640?wx_fmt=jpeg

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/320854.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

P3599-Koishi Loves Construction【构造,数论】

正题 题目链接:https://www.luogu.com.cn/problem/P3599 题目大意 构造一个nnn的排列&#xff0c;要求满足其中一个给定的要求 对于每个前缀和在模nnn意义下不同对于每个前缀积在模nnn意义下不同 解题思路 对于加法&#xff0c;显然nnn要填在第一位&#xff0c;那么这一位的…

【图论】【并查集】矩形(ssl 1222)

矩形 ssl 1222 题目大意&#xff1a; 有n个矩阵&#xff0c;现在将有重叠部分的两个矩阵合并成一个图形&#xff0c;问有多少个图形 原题&#xff1a; 题目描述 在一个平面上有n个矩形。每个矩形的边都平行于坐标轴并且都具有值为整数的顶点。我们用如下的方式来定义块。…

Asp.Net Core Web Api图片上传及MongoDB存储实例教程(一)

图片或者文件上传相信大家在开发中应该都会用到吧&#xff0c;有的时候还要对图片生成缩略图。那么如何在Asp.Net Core Web Api实现图片上传存储以及生成缩略图呢&#xff1f;今天我就使用MongoDB作为图片存储&#xff0c;然后使用SixLabors作为图片处理&#xff0c;通过一个As…

FFT算法学习笔记

写在前边 1.辣鸡RRRR_wys之前csdn的博客&#xff0c;千年不更。。。还很水。。。于是开了这个Blog。。。妄图拯救一下自己 2.最近接触了一些多项式理论。于是翘掉了愉快的高频自控&#xff0c;通过《算导》稍稍学习了一下 3.算法竞赛中&#xff0c;FFT主要解决多项式的乘法等问…

YbtOJ#20060-[NOIP2020模拟赛B组Day3]字串修改【模拟】

正题 题目链接:http://noip.ybtoj.com.cn/contest/86/problem/2 题目大意 给两个字符串&#xff0c;第一个中的∗*∗号可以替换为若干个&#xff08;可以为0个&#xff09;相同的它的前一个字符。求能否构成第二个字符串。 解题思路 把所有的∗*∗号去掉然后在有的∗*∗号的…

【并查集】家谱(luogu 2814/ssl 2343)

家谱 luogu 2814 ssl 2343 题目大意&#xff1a; 给一堆父子关系&#xff0c;求出一些人的最大的祖先 原题&#xff1a; 题目背景 现代的人对于本家族血统越来越感兴趣。 题目描述 给出充足的父子关系&#xff0c;请你编写程序找到某个人的最早的祖先。 输入输出格式…

System.IO.Pipelines: .NET高性能IO

本文翻译自dotnet团队博客文章&#xff1a;https://blogs.msdn.microsoft.com/dotnet/2018/07/09/system-io-pipelines-high-performance-io-in-net/ System.IO.Pipelines是一个新的库&#xff0c;旨在简化在.NET中执行高性能IO的过程。它是一个依赖.NET Standard的库&#xff…

Full_of_Boys训练1总结

题目来源&#xff1a; 2017-2018 ACM-ICPC Northern Eurasia (Northeastern European Regional) Contest (NEERC 17) A. Archery Tournament 每次查询&#xff0c;找这个位置前面的15个圆&#xff0c;后边15个圆来更新答案。set维护一下圆就行。为什么对&#xff0c;官方题解&a…

CF311B-Cats Transport【斜率优化dp】

正题 题目链接:https://www.luogu.com.cn/problem/CF311B 题目大意 nnn座山在一条线上&#xff0c;有mmm只猫&#xff0c;第iii只从tit_iti​开始在第xix_ixi​座山上游玩结束。 派ppp个人在不同时间从111走到nnn接走所有游玩结束的猫&#xff0c;求所有猫的最小等待时间。 解…

【并查集】黑魔法师之门(codevs 1995/joyoi-codevs 1995)

黑魔法师之门 codevs 1995 joyoi-codevs 1995 题目大意&#xff1a; 有一堆点&#xff0c;每一次操作添加一条边&#xff0c;并要输出每个点的度数都大于1并为偶数的子图的个数 原题&#xff1a; 题目描述 经过了16个工作日的紧张忙碌&#xff0c;未来的人类终于收集到了…

.NET+PostgreSQL实践与避坑指南

简介.NETPostgreSQL(简称PG)这个组合我已经用了蛮长的一段时间&#xff0c;感觉还是挺不错的。不过大多数人说起.NET平台&#xff0c;还是会想起跟它“原汁原味”配套的Microsoft SQL Server(简称MSSQL)&#xff0c;其实没有MSSQL也没有任何问题&#xff0c;甚至没有Windows Se…

Full_of_Boys训练2总结

题目来源:&#xff1a;西安电子科技大学第16届程序设计竞赛网络同步赛 A, B, C: easy problem D. 另一个另一个简单题 做法是加起来&#xff0c;除n。希望会推导的聚聚指点。 #include <bits/stdc.h> const int inf 0x3f3f3f3f; using namespace std; int T; int ans; in…

P2714-四元组统计【数论,容斥】

正题 题目链接:https://www.luogu.com.cn/problem/P2714 题目大意 给出nnn个数&#xff0c;求有多少个(i,j,k,l)(i,j,k,l)(i,j,k,l)使得gcd(ai,aj,ak,al)1gcd(a_i,a_j,a_k,a_l)1gcd(ai​,aj​,ak​,al​)1。 解题思路 我们设fif_ifi​表示gcdgcdgcd和为iii的方案数。FiF_iFi…

【并查集】Supermarket(poj 1456/luogu-UVA1316)

Supermarket poj 1456 luogu-UVA1316 题目大意&#xff1a; 有一堆物品&#xff0c;每一件物品都有自己的价值和保质期&#xff0c;每天只能卖出一件物品&#xff0c;问最大价值是多少 原题&#xff1a; 题目描述 有一个商店有许多批货&#xff0c;每一批货又有N(0<N…

Jimu : .Net Core 分布式微服务框架介绍

一、前言近些年一直浸淫在 .Net 平台做企业应用开发&#xff0c;用过的 .Net 框架不多&#xff08;具体数量不清&#xff0c;印象深刻的有 Asp.Net MVC&#xff0c;WPF&#xff0c;其他很多都是基于微软开发的框架做些封装而形成新的框架&#xff0c;大都是还没起好名就湮灭在历…

组合数学学习笔记

常见组合计数 n球m盒分配问题 球有别&#xff0c;盒子有别&#xff0c;盒子可空&#xff1a;m^n 每个同学都有m种选择 球无别&#xff0c;盒子有别&#xff0c;盒子不可空&#xff1a;C(n-1,m-1) 隔板法 球无别&#xff0c;盒子有别&#xff0c;盒子可空&#xff1a;C(nm-1,m-1…

P3287-[SCOI2014]方伯伯的玉米田【二维树状数组,dp】

正题 题目链接:https://www.luogu.com.cn/problem/P3287 题目大意 nnn个玉米高度不同&#xff0c;可以选择kkk个区间拔高111个高度&#xff0c;求最长不降子序列长度。 解题思路 显然每次拔高都是拔一个后缀&#xff0c;所以我们设fi,jf_{i,j}fi,j​表示到第iii个玉米&#x…

【背包】买装备

买装备 题目大意&#xff1a; 有n件物品&#xff0c;每件物品有它的物抗&#xff0c;魔抗&#xff0c;价格&#xff0c;现在要在物抗魔抗各不小于一个值的前提下&#xff0c;使价格最小&#xff08;每件物品只能买一件&#xff09; 原题&#xff1a; 题目描述 mxy 沉迷于一…

.NetCore2.1 WebAPI 根据swagger.json自动生成客户端代码

前言上一篇博客中我们可以得知通过Swagger插件可以很方便的提供给接口开发者在线调试&#xff0c;但是实际上Swagger附带的功能还有很多&#xff0c;比如使用NSwag生成客户端调用代码&#xff0c;进一步解放接口开发者。NSwag NSwag是一个发布在GitHub上的开源项目&#xff0c;…

BZOJ1485: [HNOI2009]有趣的数列

题解&#xff1a;考虑按顺序从小到大&#xff0c;加入数字&#xff0c;将加入奇数位置看作入栈&#xff0c;加入偶数位置看作出栈。为什么可以&#xff1f;考虑我们要保证相邻奇数小于偶数&#xff0c;所以必须先填上一个奇数的位置才能填偶数的位置&#xff0c;既时刻保证奇数…