日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
聊聊在.Net5.0中自定義授權(quán)響應(yīng)

本文轉(zhuǎn)載自微信公眾號「DotNET技術(shù)圈」,作者Ben Foster 。轉(zhuǎn)載本文請聯(lián)系DotNET技術(shù)圈公眾號。

在 .NET 5.0 中自定義授權(quán)響應(yīng)

ASP.NET Core 授權(quán)框架中經(jīng)常要求的[1]一項功能是能夠在授權(quán)失敗時自定義 HTTP 響應(yīng)。

以前,唯一的方法是IAuthorizationService直接在您的控制器中(或通過過濾器)調(diào)用授權(quán)服務(wù) ,類似于基于資源的授權(quán)方法[2]或?qū)崿F(xiàn)您自己的授權(quán)過濾器[3]。

從 .NET 5.0 開始,您現(xiàn)在可以通過實現(xiàn)IAuthorizationMiddlewareResultHandler接口來自定義 HTTP 響應(yīng);當(dāng)授權(quán)失敗時,授權(quán)框架會自動調(diào)用中間件。

這是 記錄[4]在微軟文檔的網(wǎng)站,但根據(jù)我的具體使用情況我花了不少時間才找到。

問題

我一直在采取措施將舊的 ASP.NET Web API 應(yīng)用程序移植到 .NET Core 5.0。此 API 具有分層 URI 結(jié)構(gòu),因此大多數(shù)端點將位于“站點”資源下,例如:

  • /sites
  • /sites/{siteId}
  • /sites/{siteId}/blog

為了驗證用戶是否有權(quán)訪問指定站點,該應(yīng)用程序以前使用自定義操作過濾器來提取siteId路由參數(shù)并根據(jù)用戶的聲明對其進(jìn)行驗證。遷移到 .NET 5.0 我想利用授權(quán)框架來實現(xiàn)這種基于資源的授權(quán),但同樣不想在每個控制器中復(fù)制這個邏輯。

我的解決方案是實現(xiàn)一個執(zhí)行類似操作的授權(quán)處理程序,獲取siteId參數(shù)并驗證用戶的訪問權(quán)限:

 
 
 
    
  
  
  
  1. public class SiteAccessAuthorizationHandler : AuthorizationHandler 
    2.   
  
  
    3.   
  
  
  3.     private const string SiteIdRouteParameter = "siteId"; 
    4.   
  
  
  4.     private readonly ILogger _logger; 
    5.   
  
  
  5.  
    6.   
  
  
  6.     public SiteAccessAuthorizationHandler(ILogger logger) 
    7.   
  
  
  7.     { 
    8.   
  
  
  8.         _logger = logger.NotNull(nameof(logger)); 
    9.   
  
  
  9.     } 
    10.   
  
  
  10.  
    11.   
  
  
  11.     protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, SiteAccessRequirement requirement) 
    12.   
  
  
  12.     { 
    13.   
  
  
  13.         context.NotNull(nameof(context)); 
    14.   
  
  
  14.         requirement.NotNull(nameof(requirement)); 
    15.   
  
  
  15.  
    16.   
  
  
  16.         if (context.Resource is HttpContext httpContext 
    17.   
  
  
  17.             && httpContext.GetRouteData().Values.TryGetValue(SiteIdRouteParameter, out object? routeValue) 
    18.   
  
  
  18.             && routeValue is string siteId) 
    19.   
  
  
  19.         { 
    20.   
  
  
  20.             string qualifiedId = $"sites/{siteId}"; 
    21.   
  
  
  21.             AccountPrincipal account = context.User.ToAccount(); 
    22.   
  
  
  22.  
    23.   
  
  
  23.             _logger.LogDebug("Validating access to Site {SiteId} from User {UserId}.", qualifiedId, account.GetAuthIdentifier()); 
    24.   
  
  
  24.  
    25.   
  
  
  25.             if (account.CanAccessSite(qualifiedId)) 
    26.   
  
  
  26.             { 
    27.   
  
  
  27.                 context.Succeed(requirement); 
    28.   
  
  
  28.             } 
    29.   
  
  
  29.             else 
    30.   
  
  
  30.             { 
    31.   
  
  
  31.                 _logger.LogWarning("Site validation failed. User {UserId} is not permitted to access {SiteId}.", account.GetAuthIdentifier(), qualifiedId); 
    32.   
  
  
  32.             } 
    33.   
  
  
  33.         } 
    34.   
  
  
  34.  
    35.   
  
  
  35.         return Task.CompletedTask; 
    36.   
  
  
  36.     } 
    37.   
  
  
    38.

然后將其注冊為授權(quán)策略的一部分:

 
 
 
    
  
  
  
  1. services.AddAuthorization(options => 
    2.   
  
  
  2. {                 
    3.   
  
  
  3.     options.FallbackPolicy = Policies.FallbackPolicy; 
    4.   
  
  
  4.     options.AddPolicy("SiteAccess", Policies.SiteAccessPolicy); 
    5.   
  
  
  5. }) 
    6.   
  
  
  6.  
    7.   
  
  
  7. public static AuthorizationPolicy SiteAccessPolicy => 
    8.   
  
  
  8.     ConfigureDefaults(new AuthorizationPolicyBuilder()) 
    9.   
  
  
  9.         .AddRequirements(new SiteAccessRequirement()) 
    10.   
  
  
  10.         .Build(); 
    11.   
  
  
  11.  
    12.   
  
  
  12. private static AuthorizationPolicyBuilder ConfigureDefaults(AuthorizationPolicyBuilder builder) 
    13.   
  
  
  13.     => builder.AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme) 
    14.   
  
  
  14.         .RequireAuthenticatedUser() 
    15.   
  
  
  15.         .RequireClaim(JwtClaimTypes.ClientId); 
    16.

并應(yīng)用于控制器和/或動作:

 
 
 
    
  
  
  
  1. [Authorize(Policy = "SiteAccess")] 
    2.   
  
  
  2. [HttpGet("{siteId}", Name = RouteNames.SiteRoute)] 
    3.   
  
  
  3. public async Task GetSiteAsync(string siteId, CancellationToken cancellationToken) 
    4.   
  
  
    5.   
  
  
  5.     var site = await _session.LoadAsync($"sites/{siteId}", cancellationToken); 
    6.   
  
  
  6.     return site is null ? NotFound() : Ok(Enrich(_mapper.Map(site), true)); 
    7.   
  
  
    8.

當(dāng)我嘗試訪問未映射到當(dāng)前用戶的站點時,我會收到HTTP 403 - Forbidden響應(yīng)。

這樣雖然達(dá)到了保護(hù)站點資源的目的,但也存在泄露用戶無權(quán)訪問的站點信息的弊端。因此最好返回一個HTTP 404 - Not Found響應(yīng)??紤]到該站點不存在于用戶的站點資源集合中,這在語義上也是有意義的。

如果您想知道為什么我不只是將用戶過濾器作為查詢的一部分,那是因為用戶/帳戶與內(nèi)容域是分開的,并且由于數(shù)據(jù)模型的設(shè)計以及我使用的事實鍵值存儲,驗證訪問的責(zé)任轉(zhuǎn)移到應(yīng)用層。

解決方案

為了實現(xiàn)上述目標(biāo),我們可以使用 newIAuthorizationMiddlewareResultHandler并創(chuàng)建一個處理程序,當(dāng)由于我的站點訪問要求未得到滿足而導(dǎo)致授權(quán)失敗時,該處理程序會轉(zhuǎn)換 HTTP 響應(yīng):

 
 
 
    
  
  
  
  1. public class AuthorizationResultTransformer : IAuthorizationMiddlewareResultHandler 
    2.   
  
  
    3.   
  
  
  3.     private readonly IAuthorizationMiddlewareResultHandler _handler; 
    4.   
  
  
  4.  
    5.   
  
  
  5.     public AuthorizationResultTransformer() 
    6.   
  
  
  6.     { 
    7.   
  
  
  7.         _handler = new AuthorizationMiddlewareResultHandler(); 
    8.   
  
  
  8.     } 
    9.   
  
  
  9.  
    10.   
  
  
  10.     public async Task HandleAsync( 
    11.   
  
  
  11.         RequestDelegate requestDelegate, 
    12.   
  
  
  12.         HttpContext httpContext, 
    13.   
  
  
  13.         AuthorizationPolicy authorizationPolicy, 
    14.   
  
  
  14.         PolicyAuthorizationResult policyAuthorizationResult) 
    15.   
  
  
  15.     { 
    16.   
  
  
  16.         if (policyAuthorizationResult.Forbidden && policyAuthorizationResult.AuthorizationFailure != null) 
    17.   
  
  
  17.         { 
    18.   
  
  
  18.             if (policyAuthorizationResult.AuthorizationFailure.FailedRequirements.Any(requirement => requirement is SiteAccessRequirement)) 
    19.   
  
  
  19.             { 
    20.   
  
  
  20.                 httpContext.Response.StatusCode = (int)HttpStatusCode.NotFound; 
    21.   
  
  
  21.                 return; 
    22.   
  
  
  22.             } 
    23.   
  
  
  23.  
    24.   
  
  
  24.             // Other transformations here 
    25.   
  
  
  25.         } 
    26.   
  
  
  26.  
    27.   
  
  
  27.         await _handler.HandleAsync(requestDelegate, httpContext, authorizationPolicy, policyAuthorizationResult); 
    28.   
  
  
  28.     } 
    29.   
  
  
    30.

在上面的代碼中,我檢查授權(quán)失敗(結(jié)果是禁止)和失敗的要求,相應(yīng)地更改HTTP狀態(tài)代碼;否則我們通過調(diào)用內(nèi)置的AuthorizationMiddlewareResultHandler.

為了連接自定義處理程序,它在啟動時注冊:

 
 
 
    
  
  
  
  1. services.AddAuthorization(options => 
    2.   
  
  
  2. {                 
    3.   
  
  
  3.     options.FallbackPolicy = Policies.FallbackPolicy; 
    4.   
  
  
  4.     options.AddPolicy("SiteAccess", Policies.SiteAccessPolicy); 
    5.   
  
  
  5. }) 
    6.   
  
  
  6. .AddSingleton(); 
    7.

References

[1] 經(jīng)常要求的: https://github.com/dotnet/aspnetcore/issues/4670

[2] 基于資源的授權(quán)方法: https://docs.microsoft.com/en-us/aspnet/core/security/authorization/resourcebased?view=aspnetcore-5.0

[3] 實現(xiàn)您自己的授權(quán)過濾器: https://ignas.me/tech/custom-unauthorized-response-body/

[4] 記錄: https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/customizingauthorizationmiddlewareresponse?view=aspnetcore-5.0


網(wǎng)站欄目:聊聊在.Net5.0中自定義授權(quán)響應(yīng)
當(dāng)前鏈接:http://m.5511xx.com/article/cohhddg.html