ASP.NET 基于核心自定义策略的授权 - 不清楚
ASP.NET Core Custom Policy Based Authorization - unclear
好的,ASP.NET Core 中基于自定义策略的授权。我有点理解这个新身份框架的想法,但仍然不是 100% 清楚你可以用它实现什么。假设我们在 HomeController 中有一个名为 List 的 Action。此操作将查询并显示数据库中的产品列表。必须访问此列表的用户必须属于营销部门。因此,在我们的政策中,我们检查用户是否有一个名为 Division 的声明,其值是 Marketing。如果是,那么他将被允许查看列表,否则不允许。我们可以这样装饰我们的动作:
[Authorize(Policy = "ProductsAccess")]
public IActionResult List()
{
//do query and return the products view model
return View();
}
一切都很好。它将完美运行。
场景 1: 如果我想在产品级别添加策略,并且根据该策略,用户将只能看到他所在部门的产品。所以营销人员会看到他的产品,研发人员会看到他的产品等等。我怎样才能做到这一点?可以通过政策来完成吗?如果是怎么办?
场景 2: 现场级别的访问情况如何?假设我想隐藏某些字段?示例:所有产品都会有某些列,这些列必须对经理可见而对其他用户隐藏?这可以使用自定义策略来完成吗?如果是怎么办?
我认为政策不是为了解决您遇到的问题而设计的。我不确定这是否可能,即使可能,我觉得代码本身也会受到它带来的复杂性和混乱的影响。我不会让我的授权过滤器承担那么多责任。
对于第二种情况,您可以根据当前用户的角色、声明或其他任何内容跳过视图中的某些数据输出。用策略来解决这个问题似乎不必要地复杂。
根据其创建目的使用策略,授权用户是否允许甚至 运行 一种方法。返回的内容有什么不同吗?在正常的代码流程中处理它。
对于场景 1,您可以使用 resource based authorization。
本质上,您将 IAuthorizationService 注入您的服务或控制器,然后拥有一个或多个派生形式 AuthorizationHandler<TRequirement, TDocument> 的授权处理程序,然后调用
if(await _authorizationService.AuthorizeAsync(User, document, "MyPolicy"))
{
// Success, user has access to it
}
缺点:您必须从数据库中获取所有产品,然后在内存中进行过滤,因此它适用于不需要分页的单个文档或较小的数据.分页会破坏它,即使是在较小的数据上(即,如果您请求 50 个产品,但用户无权访问其中的 40 个,尽管页面大小为 50,但只会返回 10 个)。
EF Core 2.0 可能会提供替代方案(如果您使用 EF Core 作为 ORM)。您可以添加全局过滤器,这将应用于对特定实体的所有查询。
有关详细信息,请参阅 Entity Framework Core 2.0 Announcement 博客 post:
public class BloggingContext : DbContext
{
public DbSet<Blog> Blogs { get; set; }
public DbSet<Post> Posts { get; set; }
public int TenantId {get; set; }
protected override void OnModelCreating(ModelBuilder modelBuilder)
{
modelBuilder.Entity<Post>()
.HasQueryFilter(p => !p.IsDeleted &&
p.TenantId == this.TenantId );
}
}
它可能适合也可能不适合您的情况,这取决于您是否有可以使用的行级数据(即某种 "resource owner" 字段)。
场景 2 据我所知不可能开箱即用,你必须自己实现一些东西,但这是一个非常复杂的话题(如果您曾经使用过 Dynamics CRM,您就会明白我的意思)。
更新
只是为了快速实现,您可以尝试将响应包装在 ExpandoObject 周围(这是您使用 dynamic 关键字时所使用的底层内容)并对其进行迭代,删除用户的属性在从控制器操作返回之前无权访问或编写授权过滤器,它将自动为特定或所有控制器执行此操作。
关于如何 construct/use expando 对象的粗略想法,请参阅我的回答 。
好的,ASP.NET Core 中基于自定义策略的授权。我有点理解这个新身份框架的想法,但仍然不是 100% 清楚你可以用它实现什么。假设我们在 HomeController 中有一个名为 List 的 Action。此操作将查询并显示数据库中的产品列表。必须访问此列表的用户必须属于营销部门。因此,在我们的政策中,我们检查用户是否有一个名为 Division 的声明,其值是 Marketing。如果是,那么他将被允许查看列表,否则不允许。我们可以这样装饰我们的动作:
[Authorize(Policy = "ProductsAccess")]
public IActionResult List()
{
//do query and return the products view model
return View();
}
一切都很好。它将完美运行。
场景 1: 如果我想在产品级别添加策略,并且根据该策略,用户将只能看到他所在部门的产品。所以营销人员会看到他的产品,研发人员会看到他的产品等等。我怎样才能做到这一点?可以通过政策来完成吗?如果是怎么办?
场景 2: 现场级别的访问情况如何?假设我想隐藏某些字段?示例:所有产品都会有某些列,这些列必须对经理可见而对其他用户隐藏?这可以使用自定义策略来完成吗?如果是怎么办?
我认为政策不是为了解决您遇到的问题而设计的。我不确定这是否可能,即使可能,我觉得代码本身也会受到它带来的复杂性和混乱的影响。我不会让我的授权过滤器承担那么多责任。
对于第二种情况,您可以根据当前用户的角色、声明或其他任何内容跳过视图中的某些数据输出。用策略来解决这个问题似乎不必要地复杂。
根据其创建目的使用策略,授权用户是否允许甚至 运行 一种方法。返回的内容有什么不同吗?在正常的代码流程中处理它。
对于场景 1,您可以使用 resource based authorization。
本质上,您将 IAuthorizationService 注入您的服务或控制器,然后拥有一个或多个派生形式 AuthorizationHandler<TRequirement, TDocument> 的授权处理程序,然后调用
if(await _authorizationService.AuthorizeAsync(User, document, "MyPolicy"))
{
// Success, user has access to it
}
缺点:您必须从数据库中获取所有产品,然后在内存中进行过滤,因此它适用于不需要分页的单个文档或较小的数据.分页会破坏它,即使是在较小的数据上(即,如果您请求 50 个产品,但用户无权访问其中的 40 个,尽管页面大小为 50,但只会返回 10 个)。
EF Core 2.0 可能会提供替代方案(如果您使用 EF Core 作为 ORM)。您可以添加全局过滤器,这将应用于对特定实体的所有查询。
有关详细信息,请参阅 Entity Framework Core 2.0 Announcement 博客 post:
public class BloggingContext : DbContext
{
public DbSet<Blog> Blogs { get; set; }
public DbSet<Post> Posts { get; set; }
public int TenantId {get; set; }
protected override void OnModelCreating(ModelBuilder modelBuilder)
{
modelBuilder.Entity<Post>()
.HasQueryFilter(p => !p.IsDeleted &&
p.TenantId == this.TenantId );
}
}
它可能适合也可能不适合您的情况,这取决于您是否有可以使用的行级数据(即某种 "resource owner" 字段)。
场景 2 据我所知不可能开箱即用,你必须自己实现一些东西,但这是一个非常复杂的话题(如果您曾经使用过 Dynamics CRM,您就会明白我的意思)。
更新
只是为了快速实现,您可以尝试将响应包装在 ExpandoObject 周围(这是您使用 dynamic 关键字时所使用的底层内容)并对其进行迭代,删除用户的属性在从控制器操作返回之前无权访问或编写授权过滤器,它将自动为特定或所有控制器执行此操作。
关于如何 construct/use expando 对象的粗略想法,请参阅我的回答