原文:https://chrissainty.com/securing-your-blazor-apps-configuring-policy-based-authorization-with-blazor/
在上一篇文章中,我展示了如何向Blazor WebAssembly(Blazor客戶端)應用程序添加基於角色的授權。在這篇文章中,我將向您展示如何使用Blazor配置基於策略的授權。
基於策略的授權
ASP.NET Core基於策略的授權允許一種更加靈活的方式來創建授權規則。策略授權由三個概念組成:
- Policy - 策略有一個或者多個要求。
- Requirement - 策略用於評估當前用戶主體的數據參數集合。
- Handler - 處理程序用於確定當前用戶主體是否有權訪問所請求的資源。
策略通常在應用程序啟動時在Startup類的ConfigureService方法中注冊。
services.AddAuthorization(config => { config.AddPolicy("IsDeveloper", policy => policy.RequireClaim("IsDeveloper", "true")); });
在上面的示例中,策略IsDeveloper要求用戶需要有IsDeveloper聲明,並且值為true。
與角色授權一樣,您一樣可以使用Authorize屬性應用於策略授權。
[Route("api/[controller]")] [ApiController] public class SystemController { [Authorize(Policy = “IsDeveloper”)] public IActionResult LoadDebugInfo() { // ... } }
Blazors指令和組件也一樣可以使用策略。
@page "/debug" @attribute [Authorize(Policy = "IsDeveloper")]
<AuthorizeView Policy="IsDeveloper"> <p>You can only see this if you satisfy the IsDeveloper policy.</p> </AuthorizeView>
更容易管理
基於策略的授權的最大優點就是改進應用程序中的授權管理。使用基於角色的授權,如果我們有兩個角色被允許訪問受保護資源 - 比如admin和moderator。我們需要在每個被允許的訪問的資源添加一個Authorize屬性。
[Authorize(Roles = "admin,moderator")]
這在一開始看起來不是很糟糕,但是如果出現一個新的需求,第三個角色superuser,需要相同的訪問權限,該怎么辦呢?現在我們需要在每個被訪問資源更新所有角色。通過基於策略的驗證,我們可以避免這種情況。
我們可以在一個定義一個策略,然后將其應用於需要它的所有資源。當需要添加額外角色時,我們只需更新這個策略,而不需要更新各個資源。
public void ConfigureServices(IServiceCollection services) { services.AddAuthorization(config => { config.AddPolicy("IsAdmin", policy => policy.RequireRole("admin", "moderator", "superuser")); }); }
[Authorize(Policy = "IsAdmin")]
創建自定義需求
策略授權非常靈活,您可以基於角色、聲明創建需求,甚至可以創建自定義需求。讓我們來看看如何創建自定義需求。
通常,當您有復雜的邏輯時,會使用自定義需求。如上所述,我們需要頂一個需求和一個處理程序來使用策略授權。
我們來創建一個檢查用戶的電子郵件地址是否使用公司域的需求。我們需要創建授權需求類,這個類需要實現IAuthorizationRequirement接口,這只是一個空的標記接口。
public class CompanyDomainRequirement : IAuthorizationRequirement { public string CompanyDomain { get; } public CompanyDomainRequirement(string companyDomain) { CompanyDomain = companyDomain; } }
接下來,我們需要為我們的需求創建一個繼承自AuthorizationHandler的處理程序,T就是要處理的需求。
public class CompanyDomainHandler : AuthorizationHandler<CompanyDomainRequirement> { protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CompanyDomainRequirement requirement) { if (!context.User.HasClaim(c => c.Type == ClaimTypes.Email)) { return Task.CompletedTask; } var emailAddress = context.User.FindFirst(c => c.Type == ClaimTypes.Email).Value; if (emailAddress.EndsWith(requirement.CompanyDomain)) { return context.Succeed(requirement); } return Task.CompletedTask; } }
在上面代碼中,我們檢查是否存在電子郵件聲明。如果存在,那么我們檢查它是否按要求中指定的域結束,如果是,則返回成功,否則就是失敗。
我們只需要將我們的要求與一個策略關聯起來,並將CompanyDomainHandler注冊到依賴注入容器中。
public void ConfigureServices(IServiceCollection services) { services.AddAuthorization(config => { config.AddPolicy("IsCompanyUser", policy => policy.Requirements.Add(new CompanyDomainRequirement("newco.com"))); }); services.AddSingleton<IAuthorizationHandler, CompanyDomainHandler>(); }
要了解更多關於自定義要求的詳細信息,建議查看官方文檔。
Blazor中使用策略
現在我們已經了解了什么是策略,讓我們看看如何在應用程序中使用它們。
我們將把上一篇文章的中Blazor應用程序切換到基於策略的授權。作為這項工作的一部分,我們將看到基於策略的授權的另一個優點,即能夠在共享項目中定義策略並在服務端和客戶端引用它們。
創建共享策略
在share項目中創建策略之前,我們需要先從NuGet安裝Microsoft.AspNetCore.Authorization這個包。
安裝之后,使用以下代碼創建一個名為Policies 的類。
public static class Policies { public const string IsAdmin = "IsAdmin"; public const string IsUser = "IsUser"; public static AuthorizationPolicy IsAdminPolicy() { return new AuthorizationPolicyBuilder().RequireAuthenticatedUser() .RequireRole("Admin") .Build(); } public static AuthorizationPolicy IsUserPolicy() { return new AuthorizationPolicyBuilder().RequireAuthenticatedUser() .RequireRole("User") .Build(); } }
我們首先定義了兩個常量IsAdmin和IsUser。我們將在注冊策略時候使用它們。接下來是策略本身,IsAdminPolicy和IsUserPolicy。這里我使用AuthorizationPolicyBuilder來定義每個策略,這兩個策略都需要用戶進行身份驗證,然后根據策略的不同,用戶可以是Admin角色和User角色。
配置服務端
現在我們已經定義了策略,我們需要讓服務端使用它們。首先,在Startup類中的ConfigureServices方法注冊策略,在AddAuthentication之后添加以下代碼。
services.AddAuthorization(config => {
config.AddPolicy(Policies.IsAdmin, Policies.IsAdminPolicy());
config.AddPolicy(Policies.IsUser, Policies.IsUserPolicy());
});
代碼非常容易理解,我們使用Policies類中定義的常量來聲明它們的名稱,並注冊每個策略,避免使用魔法字符串。
在WeatherForecastController則可以使用IsAdmin策略代舊的角色。
[ApiController] [Route("[controller]")] [Authorize(Policy = Policies.IsAdmin)] public class WeatherForecastController : ControllerBase
同樣,我們可以使用名稱常量來避免魔法字符串。
配置客戶端
現在服務端可以使用我們定義的新策略,接下來就是在Blazor客戶端使用他們。
和服務端一樣,我們也在在Startup類中的ConfigureServices方法注冊策略。之前我們已經調用了AddAuthorizationCore,所以只需要更新它。
services.AddAuthorizationCore(config => {
config.AddPolicy(Policies.IsAdmin, Policies.IsAdminPolicy());
config.AddPolicy(Policies.IsUser, Policies.IsUserPolicy());
});
在Index.razor,使用策略更新AuthorizeView組件 - 一樣要避免使用魔法字符串。
<AuthorizeView Policy="@Policies.IsUser"> <p>You can only see this if you satisfy the IsUser policy.</p> </AuthorizeView> <AuthorizeView Policy="@Policies.IsAdmin"> <p>You can only see this if you satisfy the IsAdmin policy.</p> </AuthorizeView>
最后,更新FetchData.razor的Authorize屬性。
@attribute [Authorize(Policy = Policies.IsAdmin)]
就是這樣!我們的應用程序現在轉移到基於策略的授權。我們現在有一個更靈活的授權系統,可以使用角色、聲明、自定義策略或者上述任何組合。
關於服務端Blazor
我並沒有專門討論服務端Blazor,原因很簡單,我們上面所做的應該可以毫無問題的轉移到服務端Blazor。
總結
在這篇文章中,我們討論了ASP.NET Core和Blazor基於策略的授權。我們也了解了使用基於策略的授權相對於基於角色的授權的一些優點並且我們將應用程序從基於角色的驗證遷移到了基於策略的驗證。
最后還是代碼(GITHUB)