前言
ASP.NET Core 中 繼承的是AuthorizationHandler ,而ASP.NET Framework 中繼承的是AuthorizeAttribute.
它們都是用過重寫里面的方法實現過濾請求的。
現在我們實現如何在 ASP.NET Core MVC 實現自定義授權。
關於AuthorizationHandler 詳細介紹可以看這里
如何自定義授權
比如我們后台有個博客管理功能,那我們可以新建一個Blog的控制器,比如BlogController
里面有添加,刪除,編輯等功能,分別是Add,Delete,Edit
代碼如下
public class BlogController : Controller { public IActionResult Index() { return View(); } /// <summary> /// 博客添加頁面 /// </summary> /// <returns></returns> public IActionResult Add() { return View(); } /// <summary> /// 博客列表頁面 /// </summary> public IActionResult List() { return View(); } /// <summary> /// 博客編輯頁面 /// </summary> public IActionResult Edit() { return View(); } }
如果有打印可以起個名字叫 public IActionResult Print()
自定義就是做個控制界面做勾選功能,用戶根據自身業務選擇。
以此類推,在ASP.NET 框架下默認路由就是Controller和Action,除非你修改默認路由,當然了你修改默認路由你的權限邏輯也得變。
實現過濾器
AuthorizationHandler 參數里面有個IAuthorizationRequirement要我們去填充,根據我們自己業務自己選擇定義數據。
public class PermissionRequirement : IAuthorizationRequirement { /// <summary> /// 無權限action /// </summary> public string DeniedAction { get; set; } = "/Home/visitDeny"; /// <summary> /// 認證授權類型 /// </summary> public string ClaimType { internal get; set; } /// <summary> /// 默認登錄頁面 /// </summary> public string LoginPath { get; set; } = "/Home/Login"; /// <summary> /// 過期時間 /// </summary> public TimeSpan Expiration { get; set; } /// <summary> /// 構造 /// </summary> /// <param name="deniedAction"></param> /// <param name="claimType"></param> /// <param name="expiration"></param> public PermissionRequirement(string deniedAction, string claimType, TimeSpan expiration) { ClaimType = claimType; DeniedAction = deniedAction; Expiration = expiration; } }
第一個參數集合
public class PermissionItem { /// <summary> /// 用戶或角色或其他憑據名稱 /// </summary> public virtual string Role { get; set; } /// <summary> /// 配置的Controller名稱 /// </summary> public virtual string controllerName { get; set; } /// <summary> /// 配置的Action名稱 /// </summary> public virtual string actionName { get; set; } }
Startup 里面,添加一個授權策略,PermissionRequirement 放進去,然后注入
////權限要求參數 var permissionRequirement = new PermissionRequirement( "/Home/visitDeny",// 拒絕授權的跳轉地址 ClaimTypes.Name,//基於用戶名的授權 expiration: TimeSpan.FromSeconds(60 * 5)//接口的過期時間 ); #endregion //【授權】 services.AddAuthorization(options => { options.AddPolicy("Permission", policy => policy.Requirements.Add(permissionRequirement)); }); // 注入權限處理器 services.AddTransient<IAuthorizationHandler, PermissionHandler>();
控制器里面加上標示
[Authorize("Permission")] public class BlogController : Controller { }
登錄頁面授權
[HttpPost] public async Task<IActionResult> Login(LoginViewModel model) { if (ModelState.IsValid) { if (model.textUser == null) { ModelState.AddModelError("", "請輸入賬號."); return View(model); } if (model.textPassword == null) { ModelState.AddModelError("", "請輸入密碼."); return View(model); } if (model.textUser == "admin" && model.textPassword == "123") { #region 傳統的登錄 //只判斷是否登錄 通過[Authorize] 小項目中只有一個管理員 只要賬號和密碼對就行 var claimIdentity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme); claimIdentity.AddClaim(new Claim(ClaimTypes.Name, model.textUser)); var claimsPrincipal = new ClaimsPrincipal(claimIdentity); //await HttpContext.SignInAsync(claimsPrincipal); await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, claimsPrincipal); #endregion //下面代碼是演示的,實際項目要從根據用戶名或者角色從數據庫讀取出來 配置到 List<PermissionItem>里面 //這里我用的是用戶名判斷的,根據自己的業務自己處理 //測試的時候 可以 刪除一條記錄試試,或者添加一條 List<PermissionItem> lsperm = new List<PermissionItem>(); lsperm.Add(new PermissionItem() { Role = model.textUser, controllerName = "Blog", actionName = "Add" });//添加博客頁面的權限 lsperm.Add(new PermissionItem() { Role = model.textUser, controllerName = "Blog", actionName = "Edit" });//編輯博客頁面的權限 lsperm.Add(new PermissionItem() { Role = model.textUser, controllerName = "Blog", actionName = "List" });//查看博客頁面的權限 string perData = JsonConvert.SerializeObject(lsperm); await _cacheService.SetStringAsync("perm" + model.textUser, perData); return RedirectToAction("Index", "Home"); } } return View(model); }
List<PermissionItem> 我用Redis存儲的,大家根據實際情況存儲。
權限判斷
public class PermissionHandler : AuthorizationHandler<PermissionRequirement> { public IAuthenticationSchemeProvider Schemes; readonly IDistributedCache _cacheService; /// <summary> /// 構造函數注入 /// </summary> public PermissionHandler(IAuthenticationSchemeProvider schemes, IDistributedCache cacheService) { Schemes = schemes; _cacheService = cacheService; } // 重載異步處理程序 protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, PermissionRequirement requirement) { //從AuthorizationHandlerContext轉成HttpContext,以便取出表求信息 AuthorizationFilterContext filterContext = context.Resource as AuthorizationFilterContext; HttpContext httpContext = filterContext.HttpContext; AuthenticateResult result = await httpContext.AuthenticateAsync(Schemes.GetDefaultAuthenticateSchemeAsync().Result.Name); //如果沒登錄result.Succeeded為false if (result.Succeeded) { httpContext.User = result.Principal; //當前訪問的Controller string controllerName = filterContext.RouteData.Values["Controller"].ToString();//通過ActionContext類的RouteData屬性獲取Controller的名稱:Home //當前訪問的Action string actionName = filterContext.RouteData.Values["Action"].ToString();//通過ActionContext類的RouteData屬性獲取Action的名稱:Index string name = httpContext.User.Claims.SingleOrDefault(s => s.Type == ClaimTypes.Name)?.Value; string perData = await _cacheService.GetStringAsync("perm" + name); List<PermissionItem> lst = JsonConvert.DeserializeObject<List<PermissionItem>>(perData); if (lst.Where(w => w.controllerName == controllerName && w.actionName == actionName).Count() > 0) { //如果在配置的權限表里正常走 context.Succeed(requirement); } else { //不在權限配置表里 做錯誤提示 //如果是AJAX請求 (包含了VUE等 的ajax) string requestType = filterContext.HttpContext.Request.Headers["X-Requested-With"]; if (!string.IsNullOrEmpty(requestType) && requestType.Equals("XMLHttpRequest", StringComparison.CurrentCultureIgnoreCase)) { //ajax 的錯誤返回 //filterContext.Result = new StatusCodeResult(499); //自定義錯誤號 ajax請求錯誤 可以用來錯沒有權限判斷 也可以不寫 用默認的 context.Fail(); } else { //普通頁面錯誤提示 就是跳轉一個頁面 //httpContext.Response.Redirect("/Home/visitDeny");//第一種方式跳轉 filterContext.Result = new RedirectToActionResult("visitDeny", "Home", null);//第二種方式跳轉 context.Fail(); } } } else { context.Fail(); } } }
至此我們實現定義授權判斷。實際業務上每個人可以根據自己的情況做處理。