轉載:https://www.cnblogs.com/dxp909/p/6389198.html
前面的文章介紹了如何進行權限控制,即訪問控制器或者方法的時候,要求當前用戶必須具備特定的權限,但是如何在程序中進行權限的分配呢?下面就介紹下如何利用Microsoft.AspNetCore.Identity.EntityFrameworkCore框架進行權限分配。
在介紹分配方法之前,我們必須理解權限關系,這里面涉及到三個對象:用戶,角色,權限,權限分配到角色,角色再分配到用戶,當某個用戶屬於某個角色后,這個用戶就具有了角色所包含的權限列表,比如現在有一個信息管理員角色,這個角色包含了信息刪除權限,當張三這個用戶具有信息管理員角色后,張三就具備了信息刪除的權限。在某些特殊場景下,權限也可以直接分配到用戶,也就是說可以直接把某些特定的權限,繞過角色,直接分配給用戶。Microsoft.AspNetCore.Identity.EntityFrameworkCore框架中都提供了這樣的支持。
先把框架中主要的業務對象類介紹一下:
IdentityUser:表示一個用戶信息
IdentityRole:表示一個角色信息
IdentityRoleClaim<TKey>:表示角色具有的權限
IdentityUserClaim<TKey>:表示用戶具有的權限
IdentityUserRole<TKey>:表示用戶角色關系
基本概念理解后,下面我們就來看一下如何進行權限分配。
1,分配權限到角色:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了RoleManager類,類中提供了把權限分配到角色的方法:
Task<IdentityResult> AddClaimAsync(TRole role, Claim claim)
第一個參數表示對應的角色對象,第二個參數表示一個權限信息
2,分配權限到用戶:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了UserManager類,類中提供了把權限分配到用戶的方法:
Task<IdentityResult> AddClaimAsync(TUser user, Claim claim)
第一個參數表示對應的用戶對象,第二個參數表示一個權限信息
3,分配用戶到角色:用到的同樣是UserManager類,使用的方法:
AddToRoleAsync(TUser user, string role)
第一個參數表示的是用戶對象,第二個是角色的名稱
4,獲取角色當前具有的權限列表:
Task<IList<Claim>> RoleManager.GetClaimsAsync(TRole role)
5,獲取用戶當前具有的權限列表:
Task<IList<Claim>> UserManager.GetClaimsAsync(TUser user)
通過這樣的方式就可以完成權限分配全過程,再結合前面的權限控制方法,系統就實現了完成的權限控制邏輯。
那現在的問題來了,權限列表從什么地方來?一般來說,一個業務系統功能確定后,對應的權限列表也自然就確定了,再實現分配權限到角色,分配權限到用戶的功能時,只需要在頁面上把所有的權限列出來進行選擇即可,效果圖如下:
把選擇的數據調用對應的方法保存即可。
這個問題解決了,但是新的問題又來了。如果說一個業務功能點特別多,自然會導致權限也會很多,如果完全通過手工的方式寫到頁面上,那自然工作量會很大很大,再者業務系統可能會不斷地變化,這個時候也會去不斷地修改權限分配頁面,這自然不是一個好的方法,下面我給大家說一個我想的一個方法,不一定是最好的,但是能省很大的事。
首秀我們需要解決的問題是,如何快速生成這個權限配置列表。
思路就是改造AuthorizeAttribute,在這個特性基礎上增加權限描述信息,用權限描述信息作為Policy。下面直接上代碼:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
|
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple =
true
, Inherited =
true
)]
//類名稱可以改,因為我把系統操作當作資源來管理
public
class
ResourceAttribute:AuthorizeAttribute
{
private
string
_resouceName;
private
string
_action;
public
ResourceAttribute(
string
name)
{
if
(
string
.IsNullOrEmpty(name))
{
throw
new
ArgumentNullException(nameof(name));
}
_resouceName = name;
//把資源名稱設置成Policy名稱
Policy = _resouceName;
}
public
string
GetResource()
{
return
_resouceName;
}
public
string
Action
{
get
{
return
_action;
}
set
{
_action = value;
if
(!
string
.IsNullOrEmpty(value))
{
//把資源名稱跟操作名稱組裝成Policy
Policy = _resouceName +
"-"
+ value;
}
}
}
}
|
類已經定義好了,那我們就看看如何使用,因為是特性定義,所以可以在控制器類或者方法上按照下面結構使用:
[Resource("組織架構", Action = "添加部門")]
到這里基礎工作已經做完,下面還有兩個問題需要解決:
1,Policy現在只是配置了名稱,但是具體驗證規則沒有定義
2,如何獲取所有的權限列表
先來看第一個問題,前面的文章介紹了,Policy需要提前在startup里通過AddAuthorization進行配置,但是現在我們並沒有做這樣的步驟,所以目前權限還不會起作用。框架在權限驗證的時候,會依賴一個IAuthorizationPolicyProvider來根據Policy名稱獲取具體的規則,自然我們會想到自定義一個IAuthorizationPolicyProvider實現,代碼如下:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
|
public
class
ResourceAuthorizationPolicyProvider : IAuthorizationPolicyProvider
{
private
AuthorizationOptions _options;
public
ResourceAuthorizationPolicyProvider(IOptions<AuthorizationOptions> options)
{
if
(options ==
null
)
{
throw
new
ArgumentNullException(nameof(options));
}
_options = options.Value;
}
public
Task<AuthorizationPolicy> GetDefaultPolicyAsync()
{
return
Task.FromResult(_options.DefaultPolicy);
}
public
Task<AuthorizationPolicy> GetPolicyAsync(
string
policyName)
{
AuthorizationPolicy policy = _options.GetPolicy(policyName);
//因為我們policy的名稱其實就是對應的權限名稱,所以可以用下列邏輯返回需要的驗證規則
if
(policy ==
null
)
{
string
[] resourceValues = policyName.Split(
new
char
[] {
'-'
}, StringSplitOptions.None);
if
(resourceValues.Length == 1)
{
_options.AddPolicy(policyName, builder =>
{
builder.AddRequirements(
new
ClaimsAuthorizationRequirement(resourceValues[0],
null
));
});
}
else
{
_options.AddPolicy(policyName, builder =>
{
builder.AddRequirements(
new
ClaimsAuthorizationRequirement(resourceValues[0],
new
string
[] { resourceValues[1] }));
});
}
}
return
Task.FromResult(_options.GetPolicy(policyName));
}
}
|
實現了IAuthorizationPolicyProvider,我們就需要在startup.cs的ConfigureServices(IServiceCollection services)方法中進行注冊,操作如下:
|
1
|
services.TryAdd(ServiceDescriptor.Transient<IAuthorizationPolicyProvider, ResourceAuthorizationPolicyProvider>());
|
再來看第二個問題,我們已經在控制器或者方法上定義了權限信息,關鍵是我們如何從這些特性里獲取到權限列表,將來用於權限分配的時候使用。在asp.net core mvc中提供了一個類解析機制,IApplicationModelProvider,這個依賴信息比較多,這里就不過多介紹,后續我會單獨開一個系列,介紹asp.net core mvc的內部機制。
直接上代碼
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
|
public
class
ResourceApplicationModelProvider : IApplicationModelProvider
{
private
readonly
IAuthorizationPolicyProvider _policyProvider;
public
ResourceApplicationModelProvider(IAuthorizationPolicyProvider policyProvider)
{
_policyProvider = policyProvider;
}
public
void
OnProvidersExecuted(ApplicationModelProviderContext context)
{
}
public
void
OnProvidersExecuting(ApplicationModelProviderContext context)
{
if
(context ==
null
)
{
throw
new
ArgumentNullException(nameof(context));
}
List<ResourceAttribute> attributeData =
new
List<ResourceAttribute>();
//循環獲取所有的控制器
foreach
(
var
controllerModel
in
context.Result.Controllers)
{
//得到ResourceAttribute
var
resourceData = controllerModel.Attributes.OfType<ResourceAttribute>().ToArray();
if
(resourceData.Length > 0)
{
attributeData.AddRange(resourceData);
}
//循環控制器方法
foreach
(
var
actionModel
in
controllerModel.Actions)
{
//得到方法的ResourceAttribute
var
actionResourceData = actionModel.Attributes.OfType<ResourceAttribute>().ToArray();
if
(actionResourceData.Length > 0)
{
attributeData.AddRange(actionResourceData);
}
}
}
//把所有的resourceattribute的信息寫到一個全局的resourcedata中,resourcedata就可以在其他地方進行使用,resourcedata定義后面補充
foreach
(
var
item
in
attributeData)
{
ResourceData.AddResource(item.GetResource(), item.Action);
}
}
public
int
Order {
get
{
return
-1000 + 11; } }
}
|
resourcedata定義如下
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
public
class
ResourceData
{
static
ResourceData()
{
Resources =
new
Dictionary<
string
, List<
string
>>();
}
public
static
void
AddResource(
string
name)
{
AddResource(name,
""
);
}
public
static
void
AddResource(
string
name,
string
action)
{
if
(
string
.IsNullOrEmpty(name))
{
return
;
}
if
(!Resources.ContainsKey(name))
{
Resources.Add(name,
new
List<
string
>());
}
if
(!
string
.IsNullOrEmpty(action) && !Resources[name].Contains(action))
{
Resources[name].Add(action);
}
}
public
static
Dictionary<
string
, List<
string
>> Resources {
get
;
set
; }
}
|
然后在startup中注冊我們剛剛定義的IApplicationModelProvider:
|
1
|
services.TryAddEnumerable(ServiceDescriptor.Transient<IApplicationModelProvider, ResourceApplicationModelProvider>());
|
然后在權限分配頁面通過ResourceData.Resources就獲取到了所有的權限信息,然后通過循環的方式直接顯示到頁面上即可。
終於寫完了,哈哈~~
附上實例代碼:http://files.cnblogs.com/files/dxp909/AuthorizeSample.rar