51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

聊聊在 .Net 5.0 中自定义授权响应

作者: Ben Foster
开发 后端
从 .NET 5.0 开始,您现在可以通过实现IAuthorizationMiddlewareResultHandler接口来自定义 HTTP 响应;当授权失败时,授权框架会自动调用中间件。

[[416103]]

本文转载自微信公众号「DotNET技术圈」,作者Ben Foster 。转载本文请联系DotNET技术圈公众号。

在 .NET 5.0 中自定义授权响应

ASP.NET Core 授权框架中经常要求的[1]一项功能是能够在授权失败时自定义 HTTP 响应。

以前,唯一的方法是IAuthorizationService直接在您的控制器中(或通过过滤器)调用授权服务 ,类似于基于资源的授权方法[2]或实现您自己的授权过滤器[3]。

从 .NET 5.0 开始,您现在可以通过实现IAuthorizationMiddlewareResultHandler接口来自定义 HTTP 响应;当授权失败时,授权框架会自动调用中间件。

这是 记录[4]在微软文档的网站,但根据我的具体使用情况我花了不少时间才找到。

问题

我一直在采取措施将旧的 ASP.NET Web API 应用程序移植到 .NET Core 5.0。此 API 具有分层 URI 结构,因此大多数端点将位于“站点”资源下,例如:

  • /sites
  • /sites/{siteId}
  • /sites/{siteId}/blog

为了验证用户是否有权访问指定站点,该应用程序以前使用自定义操作过滤器来提取siteId路由参数并根据用户的声明对其进行验证。迁移到 .NET 5.0 我想利用授权框架来实现这种基于资源的授权,但同样不想在每个控制器中复制这个逻辑。

我的解决方案是实现一个执行类似操作的授权处理程序,获取siteId参数并验证用户的访问权限:

  1. public class SiteAccessAuthorizationHandler : AuthorizationHandler<SiteAccessRequirement> 
  3.     private const string SiteIdRouteParameter = "siteId"
  4.     private readonly ILogger<SiteAccessAuthorizationHandler> _logger; 
  5.  
  6.     public SiteAccessAuthorizationHandler(ILogger<SiteAccessAuthorizationHandler> logger) 
  7.     { 
  8.         _logger = logger.NotNull(nameof(logger)); 
  9.     } 
  10.  
  11.     protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, SiteAccessRequirement requirement) 
  12.     { 
  13.         context.NotNull(nameof(context)); 
  14.         requirement.NotNull(nameof(requirement)); 
  15.  
  16.         if (context.Resource is HttpContext httpContext 
  17.             && httpContext.GetRouteData().Values.TryGetValue(SiteIdRouteParameter, out object? routeValue) 
  18.             && routeValue is string siteId) 
  19.         { 
  20.             string qualifiedId = $"sites/{siteId}"
  21.             AccountPrincipal account = context.User.ToAccount(); 
  22.  
  23.             _logger.LogDebug("Validating access to Site {SiteId} from User {UserId}.", qualifiedId, account.GetAuthIdentifier()); 
  24.  
  25.             if (account.CanAccessSite(qualifiedId)) 
  26.             { 
  27.                 context.Succeed(requirement); 
  28.             } 
  29.             else 
  30.             { 
  31.                 _logger.LogWarning("Site validation failed. User {UserId} is not permitted to access {SiteId}.", account.GetAuthIdentifier(), qualifiedId); 
  32.             } 
  33.         } 
  34.  
  35.         return Task.CompletedTask; 
  36.     } 

然后将其注册为授权策略的一部分:

  1. services.AddAuthorization(options => 
  2. {                 
  3.     options.FallbackPolicy = Policies.FallbackPolicy; 
  4.     options.AddPolicy("SiteAccess", Policies.SiteAccessPolicy); 
  5. }) 
  6.  
  7. public static AuthorizationPolicy SiteAccessPolicy => 
  8.     ConfigureDefaults(new AuthorizationPolicyBuilder()) 
  9.         .AddRequirements(new SiteAccessRequirement()) 
  10.         .Build(); 
  11.  
  12. private static AuthorizationPolicyBuilder ConfigureDefaults(AuthorizationPolicyBuilder builder) 
  13.     => builder.AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme) 
  14.         .RequireAuthenticatedUser() 
  15.         .RequireClaim(JwtClaimTypes.ClientId); 

并应用于控制器和/或动作:

  1. [Authorize(Policy = "SiteAccess")] 
  2. [HttpGet("{siteId}"Name = RouteNames.SiteRoute)] 
  3. public async Task<IActionResult> GetSiteAsync(string siteId, CancellationToken cancellationToken) 
  5.     var site = await _session.LoadAsync<CMS.Domain.Site>($"sites/{siteId}", cancellationToken); 
  6.     return site is null ? NotFound() : Ok(Enrich(_mapper.Map<Site>(site), true)); 

当我尝试访问未映射到当前用户的站点时,我会收到HTTP 403 - Forbidden响应。

这样虽然达到了保护站点资源的目的,但也存在泄露用户无权访问的站点信息的弊端。因此最好返回一个HTTP 404 - Not Found响应。考虑到该站点不存在于用户的站点资源集合中,这在语义上也是有意义的。

如果您想知道为什么我不只是将用户过滤器作为查询的一部分,那是因为用户/帐户与内容域是分开的,并且由于数据模型的设计以及我使用的事实键值存储,验证访问的责任转移到应用层。

解决方案

为了实现上述目标,我们可以使用 newIAuthorizationMiddlewareResultHandler并创建一个处理程序,当由于我的站点访问要求未得到满足而导致授权失败时,该处理程序会转换 HTTP 响应:

  1. public class AuthorizationResultTransformer : IAuthorizationMiddlewareResultHandler 
  3.     private readonly IAuthorizationMiddlewareResultHandler _handler; 
  4.  
  5.     public AuthorizationResultTransformer() 
  6.     { 
  7.         _handler = new AuthorizationMiddlewareResultHandler(); 
  8.     } 
  9.  
  10.     public async Task HandleAsync( 
  11.         RequestDelegate requestDelegate, 
  12.         HttpContext httpContext, 
  13.         AuthorizationPolicy authorizationPolicy, 
  14.         PolicyAuthorizationResult policyAuthorizationResult) 
  15.     { 
  16.         if (policyAuthorizationResult.Forbidden && policyAuthorizationResult.AuthorizationFailure != null
  17.         { 
  18.             if (policyAuthorizationResult.AuthorizationFailure.FailedRequirements.Any(requirement => requirement is SiteAccessRequirement)) 
  19.             { 
  20.                 httpContext.Response.StatusCode = (int)HttpStatusCode.NotFound; 
  21.                 return
  22.             } 
  23.  
  24.             // Other transformations here 
  25.         } 
  26.  
  27.         await _handler.HandleAsync(requestDelegate, httpContext, authorizationPolicy, policyAuthorizationResult); 
  28.     } 

在上面的代码中,我检查授权失败(结果是禁止)和失败的要求,相应地更改HTTP状态代码;否则我们通过调用内置的AuthorizationMiddlewareResultHandler.

为了连接自定义处理程序,它在启动时注册:

  1. services.AddAuthorization(options => 
  2. {                 
  3.     options.FallbackPolicy = Policies.FallbackPolicy; 
  4.     options.AddPolicy("SiteAccess", Policies.SiteAccessPolicy); 
  5. }) 
  6. .AddSingleton<IAuthorizationMiddlewareResultHandler, AuthorizationResultTransformer>(); 

References

[1] 经常要求的: https://github.com/dotnet/aspnetcore/issues/4670

[2] 基于资源的授权方法: https://docs.microsoft.com/en-us/aspnet/core/security/authorization/resourcebased?view=aspnetcore-5.0

[3] 实现您自己的授权过滤器: https://ignas.me/tech/custom-unauthorized-response-body/

[4] 记录: https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/customizingauthorizationmiddlewareresponse?view=aspnetcore-5.0

 

责任编辑:武晓燕 来源: DotNET技术圈
自定义授权响应
相关推荐
.NET Core授权失败如何自定义响应信息?
本文我们来看看在.NET5中为何要出现针对授权失败的中间件接口它是如何一步步衍生出来的呢以及对于授权失败根据实际需要如何自定义响应错误,以及如何获取对应路由信息等等。

2021-07-11 17:17:08

.NET 授权自定义
QtWidget自定义Model
ModelView这个结构是把数据存储与数据表示进行了分离,它与MVC都基于同样的思想,但它更简单一些。这种分离使得在几个不同的view上显示同一个数据成为可能,也可以重新实现新的view,而不必改变底层的数据结构。

2011-06-15 09:24:36

Qt Widget Model
浅析QtWidget自定义Model
本文讲述的是在QtWidget中自定义Model,ModelViewController(MVC),是从Smalltalk发展而来的一种设计模式,常被用于构建用户界面。

2011-06-20 16:54:40

Qt Widget model
聊聊如何实现自定义滑块组件?
整个滑块组通过绝对定位的方式将其定位在web页面的右上角,取消ul列表的默认列表样式,每个滑块的名称、滑块、值居中对齐,只需要简单几个css样式就可以达到这个效果。

2023-01-03 07:40:27

自定义滑块组件
.NET自定义控件应该如何实现?
这里将介绍如何实现.NET自定义控件,在.NET平台上我们很喜欢从Control来继承,但是笔者不是很赞同,希望本文能对大家有所帮助。

2009-09-03 13:34:03

.NET自定义控件
WCF安全之基于自定义声明授权策略
本文将介绍WCF安全之基于自定义声明授权策略,有时我们需要做到对不同的用户授予不同的操作契约的访问,这就是本文讨论的重点。

2009-07-06 13:49:29

Kubernetes自定义Controller
Kubernetes内置了许多Controller,这些Controller能满足80%的业务需求,但是企业里也难免需要自定义Controller来适配自己的业务需求。

2021-11-23 15:06:42

Kubernetes 运维开源
.NET WebAPI 自定义返回类:实现统一与灵活的API响应
本文将介绍如何创建自定义返回类,并在WebAPI中使用它们,以便更灵活地控制API的输出。

2024-04-02 09:52:12

自定义返回类API开发
详解ASP.NETSQL Server 2005上自定义分页
这篇文章讲述了如何利用SQLServer2005的新特性来简单高效的实现分页,并结合ASP.NET2.0的方便性来进行分析。

2009-04-09 09:51:09

ASP.NETSQL Server 自定义分页
Linux命令行自定义文本颜色
在Linux命令行当中使用不同颜色以期提供一种根据文件类型来识别文件的简单方式。你可以修改这些颜色,但是在做之前应该对你做的事情有充分的理由。

2018-07-12 16:22:45

Linux命令行文本颜色
详解ASP.NET自定义样式属性
本文介绍ASP.NET自定义样式属性发现BackColor属性能够呈现但ImageUrl无法呈现,那说明我们刚才自定义的类就失去意义了,也说明我们还未重写某个方法。

2009-08-04 13:35:16

ASP.NET自定义样
全面学习ADO.NET自定义对象
这里就ADO.NET自定义对象扩展分部数据类、自定义业务逻辑、自定义数据类三方面做出了详细的介绍,希望对大家有帮助。

2009-11-12 16:14:28

ADO.NET自定义对
ASP.NET自定义控件属性浅析
ASP.NET自定义控件属性浅析主要向你介绍自定义控件简单属性和复杂属性,那么他们各是什么呢?让我们关注本文章。

2009-08-06 17:13:56

ASP.NET自定义控
正确使用ASP.NET2.0自定义provider
本文介绍了在asp.net2.0中使用自定义provider的方法。

2009-07-31 15:42:38

自定义providerASP.NET2.0
ASP.NET自定义控件入门浅析
ASP.NET自定义控件是什么呢?具体的常用使用属性都有什么呢?ASP.NET自定义控件的这些属性主要的功能是什么呢?本文就向你介绍这方面的内容。

2009-08-10 14:16:59

ASP.NET自定义控
ASP.NET自定义控件开发浅析
ASP.NET自定义控件开发是什么呢?ASP.NET自定义控件开发有什么优势么?那么本文就向你介绍相关的信息。

2009-07-28 09:32:41

ASP.NET自定义控
带你玩转SpringMVC自定义HTTP请求响应数据转换
自定义HttpMessageConverter是SpringMVC中一个强大的工具,它可以帮助开发者更加灵活地控制数据转换的过程,满足特定的需求。

2023-12-28 08:22:33

响应数据转换
SwiftUI 自定义导航
尽管SwiftUI的导航系统仍然不如UIKit和AppKit提供的系统灵活,但它已经足够强大,可以满足很多不同的使用情——特别是当与SwiftUI非常全面的状态管理系统相结合时。

2022-06-06 09:01:16

SwiftUI自定义导航
自定义菜单管理-自定义菜单创建接口
目前自定义菜单最多包括3个一级菜单,每个一级菜单最多包含5个二级菜单。一级菜单最多4个汉字,二级菜单最多7个汉字,多出来的部分将会以“...”代替。请注意,创建自定义菜单后,由于微信客户端缓存,需要24小时微信客户端才会展现出来。建议测试时可以尝试取消关注公众账号后再次关注,则可以看到创建后的效果。

2015-02-12 15:33:43

微信SDK
Drupal 7创建自定义 Web 服务项目
Web服务是一种基于Web的软件应用程序,可与其他基于Web的应用程序交换数据。Web服务有助于链接不同网络平台、硬件、软件和数据库上操作的应用程序,将来自不同来源的软件和服务组合起来以提供无缝集成服务。本问将学习如何创建一个自定义Web服务,使您能够使用Services模块将一个Drupal站点的内容显示在另一个站点上。

2012-04-05 13:26:36

ibmdw
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服