asp.net Core 中AuthorizationHandler 实现自定义授权
程序员文章站
2022-12-27 23:27:16
前言 ASP.NET Core 中 继承的是AuthorizationHandler ,而ASP.NET Framework 中继承的是AuthorizeAttribute. 它们都是用过重写里面的方法实现过滤请求的。 现在我们实现如何在 ASP.NET Core MVC 实现自定义授权。 关于Au ......
前言
asp.net core 中 继承的是authorizationhandler ,而asp.net framework 中继承的是authorizeattribute.
它们都是用过重写里面的方法实现过滤请求的。
现在我们实现如何在 asp.net core mvc 实现自定义授权。
关于authorizationhandler 详细介绍可以看这里
如何自定义授权
比如我们后台有个博客管理功能,那我们可以新建一个blog的控制器,比如blogcontroller
里面有添加,删除,编辑等功能,分别是add,delete,edit
代码如下
public class blogcontroller : controller { public iactionresult index() { return view(); } /// <summary> /// 博客添加页面 /// </summary> /// <returns></returns> public iactionresult add() { return view(); } /// <summary> /// 博客列表页面 /// </summary> public iactionresult list() { return view(); } /// <summary> /// 博客编辑页面 /// </summary> public iactionresult edit() { return view(); } }
如果有打印可以起个名字叫 public iactionresult print()
自定义就是做个控制界面做勾选功能,用户根据自身业务选择。
以此类推,在asp.net 框架下默认路由就是controller和action,除非你修改默认路由,当然了你修改默认路由你的权限逻辑也得变。
实现过滤器
authorizationhandler 参数里面有个iauthorizationrequirement要我们去填充,根据我们自己业务自己选择定义数据。
public class permissionrequirement : iauthorizationrequirement { /// <summary> /// 无权限action /// </summary> public string deniedaction { get; set; } = "/home/visitdeny"; /// <summary> /// 认证授权类型 /// </summary> public string claimtype { internal get; set; } /// <summary> /// 默认登录页面 /// </summary> public string loginpath { get; set; } = "/home/login"; /// <summary> /// 过期时间 /// </summary> public timespan expiration { get; set; } /// <summary> /// 构造 /// </summary> /// <param name="deniedaction"></param> /// <param name="claimtype"></param> /// <param name="expiration"></param> public permissionrequirement(string deniedaction, string claimtype, timespan expiration) { claimtype = claimtype; deniedaction = deniedaction; expiration = expiration; } }
第一个参数集合
public class permissionitem { /// <summary> /// 用户或角色或其他凭据名称 /// </summary> public virtual string role { get; set; } /// <summary> /// 配置的controller名称 /// </summary> public virtual string controllername { get; set; } /// <summary> /// 配置的action名称 /// </summary> public virtual string actionname { get; set; } }
startup 里面,添加一个授权策略,permissionrequirement 放进去,然后注入
////权限要求参数 var permissionrequirement = new permissionrequirement( "/home/visitdeny",// 拒绝授权的跳转地址 claimtypes.name,//基于用户名的授权 expiration: timespan.fromseconds(60 * 5)//接口的过期时间 ); #endregion //【授权】 services.addauthorization(options => { options.addpolicy("permission", policy => policy.requirements.add(permissionrequirement)); }); // 注入权限处理器 services.addtransient<iauthorizationhandler, permissionhandler>();
控制器里面加上标示
[authorize("permission")] public class blogcontroller : controller { }
登录页面授权
[httppost] public async task<iactionresult> login(loginviewmodel model) { if (modelstate.isvalid) { if (model.textuser == null) { modelstate.addmodelerror("", "请输入账号."); return view(model); } if (model.textpassword == null) { modelstate.addmodelerror("", "请输入密码."); return view(model); } if (model.textuser == "admin" && model.textpassword == "123") { #region 传统的登录 //只判断是否登录 通过[authorize] 小项目中只有一个管理员 只要账号和密码对就行 var claimidentity = new claimsidentity(cookieauthenticationdefaults.authenticationscheme); claimidentity.addclaim(new claim(claimtypes.name, model.textuser)); var claimsprincipal = new claimsprincipal(claimidentity); //await httpcontext.signinasync(claimsprincipal); await httpcontext.signinasync(cookieauthenticationdefaults.authenticationscheme, claimsprincipal); #endregion //下面代码是演示的,实际项目要从根据用户名或者角色从数据库读取出来 配置到 list<permissionitem>里面 //这里我用的是用户名判断的,根据自己的业务自己处理 //测试的时候 可以 删除一条记录试试,或者添加一条 list<permissionitem> lsperm = new list<permissionitem>(); lsperm.add(new permissionitem() { role = model.textuser, controllername = "blog", actionname = "add" });//添加博客页面的权限 lsperm.add(new permissionitem() { role = model.textuser, controllername = "blog", actionname = "edit" });//编辑博客页面的权限 lsperm.add(new permissionitem() { role = model.textuser, controllername = "blog", actionname = "list" });//查看博客页面的权限 string perdata = jsonconvert.serializeobject(lsperm); await _cacheservice.setstringasync("perm" + model.textuser, perdata); return redirecttoaction("index", "home"); } } return view(model); }
list<permissionitem> 我用redis存储的,大家根据实际情况存储。
权限判断
public class permissionhandler : authorizationhandler<permissionrequirement> { public iauthenticationschemeprovider schemes; readonly idistributedcache _cacheservice; /// <summary> /// 构造函数注入 /// </summary> public permissionhandler(iauthenticationschemeprovider schemes, idistributedcache cacheservice) { schemes = schemes; _cacheservice = cacheservice; } // 重载异步处理程序 protected override async task handlerequirementasync(authorizationhandlercontext context, permissionrequirement requirement) { //从authorizationhandlercontext转成httpcontext,以便取出表求信息 authorizationfiltercontext filtercontext = context.resource as authorizationfiltercontext; httpcontext httpcontext = filtercontext.httpcontext; authenticateresult result = await httpcontext.authenticateasync(schemes.getdefaultauthenticateschemeasync().result.name); //如果没登录result.succeeded为false if (result.succeeded) { httpcontext.user = result.principal; //当前访问的controller string controllername = filtercontext.routedata.values["controller"].tostring();//通过actioncontext类的routedata属性获取controller的名称:home //当前访问的action string actionname = filtercontext.routedata.values["action"].tostring();//通过actioncontext类的routedata属性获取action的名称:index string name = httpcontext.user.claims.singleordefault(s => s.type == claimtypes.name)?.value; string perdata = await _cacheservice.getstringasync("perm" + name); list<permissionitem> lst = jsonconvert.deserializeobject<list<permissionitem>>(perdata); if (lst.where(w => w.controllername == controllername && w.actionname == actionname).count() > 0) { //如果在配置的权限表里正常走 context.succeed(requirement); } else { //不在权限配置表里 做错误提示 //如果是ajax请求 (包含了vue等 的ajax) string requesttype = filtercontext.httpcontext.request.headers["x-requested-with"]; if (!string.isnullorempty(requesttype) && requesttype.equals("xmlhttprequest", stringcomparison.currentcultureignorecase)) { //ajax 的错误返回 //filtercontext.result = new statuscoderesult(499); //自定义错误号 ajax请求错误 可以用来错没有权限判断 也可以不写 用默认的 context.fail(); } else { //普通页面错误提示 就是跳转一个页面 //httpcontext.response.redirect("/home/visitdeny");//第一种方式跳转 filtercontext.result = new redirecttoactionresult("visitdeny", "home", null);//第二种方式跳转 context.fail(); } } } else { context.fail(); } } }
至此我们实现定义授权判断。实际业务上每个人可以根据自己的情况做处理。
推荐阅读
-
在ASP.NET Core中显示自定义的错误页面
-
在ASP.NET Core中实现自动注入、批量注入
-
如何在Asp.Net Core MVC中处理null值的实现
-
asp.net Core 中AuthorizationHandler 实现自定义授权
-
Asp.Net Core 中IdentityServer4 授权中心之应用实战
-
ASP.NET Core 2.0利用Jwt实现授权认证
-
ASP.NET Core中实现用户登录验证的最低配置示例代码
-
ASP.NET Core中如何实现重定向详解
-
ASP.NET Core实现自定义WebApi模型验证详解
-
Asp.Net Core 中IdentityServer4 授权中心之自定义授权模式