.NET CORE 授权 - 张拓的天空

发表评论
250 次浏览

A+

所属分类：.NET技术

摘要

.NET CORE 授权不论使用NET CORE框架的何种授权都必须引入中间件，因为它实现了在管道中对当前请求的鉴权和授权的验证，在Startup中的Configure中首先加入鉴权和授权的中间件

便宜好用的国外VPS推荐

.NET CORE 授权

一、三种方式授权

不论使用NET CORE框架的何种授权都必须引入中间件，因为它实现了在管道中对当前请求的鉴权和授权的验证，在Startup中的Configure中首先加入鉴权和授权的中间件

中间件	描述
UseAuthentication	鉴权中间件
UseAuthorization	授权中间件，基于鉴权

1.Scheme 和 Role

基于Cookie 的Scheme授权，就是在授权时检查下是否存在对应的Scheme,可以使用自定义的Scheme授权，当然此处只是简单介绍Scheme和Role授权的方法，在选择使用.NET CORE框架的授权方式时，常用的是Policy的方式，因为Policy的扩展性和可配置性是三种方式中最强的，其实归根结底Scheme和Role授权方式实现的本质,就是基于Policy的封装而已，至于是如何实现到后面结合源码来探究，但是在这之前，要知道如何使用它

1.引入中间件并且在IOC容器中注册基于Scheme授权

//在IOC中注册 services.AddAuthentication(options => {     options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;     options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme; }) .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options => {     options.LoginPath = "/Authorization/Index";     options.AccessDeniedPath = "/Authorization/Index"; });   //在Configure中引入中间件 app.UseAuthentication(); app.UseAuthorization();

2.在对应的API中加入授权特性，特性的策略名AuthenticationSchemes必须和注册IOC的authenticationScheme一致
```
[Authorize(AuthenticationSchemes = "Cookies")] public IActionResult Info() {     return View(); } 
```

3.如果使用角色授权，就需要在登录时写入Claim的Role信息，然后在对应的Api接口上使用时加入[Authorize]特性

[AllowAnonymous] public IActionResult Login(string name, string password) { 	//用户名密码不正确直接返回     if (!"Admin".Equals(name) || !"123456".Equals(name))     {        return new JsonResult(new{ Result = false,Message = "登录失败" });     }  	var claimIdentity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme); 	//写入身份信息角色为 	claimIdentity.AddClaim(new Claim(ClaimTypes.Role, "Admin"));  	await base.HttpContext.SignInAsync("Cookies", new ClaimsPrincipal(claimIdentity), new AuthenticationProperties     {            ExpiresUtc = DateTime.UtcNow.AddMinutes(30),     });   	return new JsonResult(new{ Result = true,Message = "登录成功"}); }  [Authorize(Roles = "Admin")] public IActionResult InfoAdmin() {     return View(); }

2.Policy

1.在Ioc中注册2种基于策略的授权AdminPolicy 和 UserPolicy，在授权AdminPolicy时会校验Claim的Role的值是“Admin”，Name的值是“美洋洋”，而且必须包含邮箱，在检验UserPolicy时会验证Claim中是否存在Role这个Key,并且验证Role的值是"User"，如果用户鉴权通过的信息中完全符合这些规则的要求，那么授权就会通过

 services.AddAuthorization(options =>  {      options.AddPolicy("AdminPolicy",          policyBuilder => policyBuilder          //Claim的Role是Admin          .RequireRole("Admin")          //Claim的Name是美洋洋          .RequireUserName("美洋洋")          ////必须有某个Cliam          .RequireClaim(ClaimTypes.Email)          );      options.AddPolicy("UserPolicy",          policyBuilder => policyBuilder.RequireAssertion(context =>          context.User.HasClaim(c => c.Type == ClaimTypes.Role)          && context.User.Claims.First(c => c.Type.Equals(ClaimTypes.Role)).Value == "User")     );  });

2.我们在控制器中，在需要使用授权的Action上，标记授权特性并声明使用Policy的方式,当客户端访问Action 时管道会自动去检验它的合法性，确定是否授权，注意如果Action 上同时使用了[AllowAnonymous]，那么就会忽略授权检验，因为[AllowAnonymous]的优先级是高于[Authorize]的
```
[Authorize(Policy = "AdminPolicy")] public IActionResult AdminPolicy() {     return View(); } 
```

二、源码解读授权流程

1.经过上面几种简单的配置基本知道了3种方式的使用方法，在我们去探究查看他的实现源码之前，我们脑海中应该对它的流程有个大概的构思，如果是我们自己来做这个功能怎么做，一般不管有没有工作经验的朋友，基本都能想出解决方案，只是方案的细节差异或者逻辑严谨以及扩展度不同而已，大概的思路无非大同小异。
- 1.如果是Policy方式提前定义好授权的规则信息，登录成功后存储用户的各项身份信息。
- 2.反射找到控制器上标记的Authorize特性。
- 3.根据特性上给的授权方式和规则以及对应的值与用户身份信息中的信息比对来得出是否能访问当前控制器。
2.根据上面4点简单的逻辑可以实现授权，甚至可以说.NET CORE对于授权大致思路也是这么做的，只是他的扩展和可配置以及设计方式是经过详细策划的，以至于实现的更加完整和合理，对于我们，主要思考的问题有如下几点。
- 1.什么时候注册规则？能不能自定义规则？
- 2.什么时候找到控制器标注的特性？
- 3.什么时候对比规则决定是否通过授权？

接下来我们带着我们自己假设性的思路及思考的问题，来查看源码是如何做到的

1.注册解析流程

1.授权注册常用类

1.首先我们需要简单认识一下如下几个类

类名	描述
PolicyServiceCollectionExtensions	用户注册授权服务的扩展类，包含2个AddAuthorization()方法
AuthorizationOptions	用于添加授权时，自定义配置的提供类，他提供了自定义添加策略和查找策略的方法以及存储的属性
AuthorizationPolicyBuilder	用于提供用户配置添加授权规则，再根据规则和Scheme创建AuthorizationPolicy的功能
AuthorizationPolicy	AuthorizationPolicy的一个实例，对应一个授权的Policy，它是由AuthorizationPolicyBuilder创建
IAuthorizationRequirement	提供授权规则的接口约束，他的实例Requirement就是具体的授权条件，例如Role授权方式的规则，由它的实例RolesAuthorizationRequirement实现

2.规则源码解析

1.在.NET CORE中授权注入规则是依赖PolicyServiceCollectionExtensions扩展类来完成的,他包含了2个重载的AddAuthorization()，它的第二个重载包含了一个带参的AuthorizationOptions类型的无返回值委托，我们将从他开始介绍,如果看过WebApi的源码应该知道，我们的Application_Start启动类中，调用的GlobalConfiguration.Configure方法就是这样的风格及设计，至于如果不知道为何使用这种设计方式的话，应该是没有搞清楚委托的本质，建议去真正的理解了委托之后再来看，因为委托单单对于NET CORE来说是功不可没的。
2.打开AuthorizationOptions里面，包含了一个值为AuthorizationPolicy类型的字典PolicyMap和重载的AddPolicy()方法，我们在注册阶段主要介绍PolicyMap和AddPolicy()的第二个重载方法，而PolicyMap就是用于存储Policy的，我们看到同样在AddPolicy()时，也将一个无返回值委托作为第二个参数，而委托的参数为AuthorizationPolicyBuilder类型的，而AuthorizationPolicyBuilder的最终目的，就是用来创建AuthorizationPolicy和创建规则的。
3.打开AuthorizationPolicyBuilder类，有一个IList类型的Requirements属性，他是用于存储用户注册是添加的规则集合，现在看到配置策略的这段代码是不是瞬间就明白了。
- 1. AuthorizationOptions 类中的第二个AddPolicy（）方法用于添加一个Policy
- 1. AuthorizationPolicyBuilder 类中RequireUserName（）方法用于添加规则，最终加入到AuthorizationPolicyBuilder的Requirements属性中去了
```
services.AddAuthorization((AuthorizationOptions authorizationOptions) => {     authorizationOptions.AddPolicy("CustomPolicy",         (AuthorizationPolicyBuilder authorizationPolicyBuilder) =>            authorizationPolicyBuilder.RequireUserName("懒洋洋")); }) 
```
4.我们看到AuthorizationPolicyBuilder的RequireUserName()方法，他加入的是一个继承自IAuthorizationRequirement接口的NameAuthorizationRequirement，它的作用就是一个验证规则，同理我们根据这个思想，完全可以扩展自己的规则。

3.扩展IAuthorizationRequirement

1.创建一个手机号的校验规则，如果以180和139开头的手机号，那么就能访问某一个Api

public class MobilePhoneRequirement : AuthorizationHandler<MobilePhoneRequirement>, IAuthorizationRequirement {     protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, MobilePhoneRequirement requirement)     {         if (context.User != null && context.User.HasClaim(c => c.Type == ClaimTypes.MobilePhone))         {               var phone = context.User.FindFirst(c => c.Type == ClaimTypes.MobilePhone).Value;             if (phone.StartsWith("180", StringComparison.OrdinalIgnoreCase) || email.StartsWith("139", StringComparison.OrdinalIgnoreCase))             {                 context.Succeed(requirement);             }             else             {                 //context.Fail();//没成功就留给别人处理             }         }         return Task.CompletedTask;     } }

2.IOC容器注册及Action绑定授权

//注册服务 services.AddSingleton<IAuthorizationHandler, MobilePhoneRequirement>(); //注册自定义授权策略 services.AddAuthorization((AuthorizationOptions authorizationOptions) => {     authorizationOptions.AddPolicy("MobilePhone", policyBuilder => policyBuilder.Requirements.Add(new MobilePhoneRequirement())); });   //控制器中使用  [Authorize(AuthenticationSchemes = "Cookies", Policy = "MobilePhone")]  public IActionResult InfoMobilePhone()  {      return View();  }

2.授权析流程

1.授权注册常用类

1.如下几个类

类名	描述
AuthorizationMiddleware	授权中间件
IAuthorizationService >DefaultAuthorizationService	授权调用的服务
IAuthorizationPolicyProvider > DefaultAuthorizationPolicyProvider	对于指定的请求，根据规则用于提供对应的Policy
IAuthorizationHandlerProvider >DefaultAuthorizationHandlerProvider	提供最终对请求按照规则处理的Handler
IPolicyEvaluator > PolicyEvaluator	用于验证鉴权和授权为最终处理的AuthorizationService提供过渡

2.授权部分解析

1.我们想知道最终的请求是如何被授权处理的，所以根据UseAuthorization()，找到授权中间件AuthorizationMiddleware，在中间件中实现了对请求的授权检查。
- 1. 首先找到当前被调用目标是否IAuthorizeData标记的信息，其实就是查找被Authorize标记的特性，因为Authorize继承自IAuthorizeData
- 1. 将IAuthorizeData 信息利用AuthorizationPolicy转换为Policy.
- 1. 创建一个IPolicyEvaluator类型的PolicyEvaluator实例
- 1. 将Context和Policy传入PolicyEvaluator的AuthenticateAsync() 进行鉴权验证返回一个AuthenticateResult。
- 1. 判断调用目标是否被AllowAnonymous标记，如果标记则直接跳过授权，进行访问
- 1. 调用PolicyEvaluator的AuthorizeAsync()进行授权验证，在方法中将处理转交由IAuthorizationService处理，返回一个PolicyAuthorizationResult来说明是否授权成功。
2.我们进入IAuthorizationService类型的实例DefaultAuthorizationService中查看
- 1.根据规则，用户，创建Context 上下文。
- 2.根据上下文在DefaultAuthorizationHandlerProvider中获取到继承自IAuthorizationHandler对应的Requirement集合
- 3.循环执行每一个实现IAuthorizationHandler的Requirement

便宜好用的国外VPS推荐