51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

聊聊在 .Net 5.0 中自定义授权响应

作者: Ben Foster
开发 后端
从 .NET 5.0 开始,您现在可以通过实现IAuthorizationMiddlewareResultHandler接口来自定义 HTTP 响应;当授权失败时,授权框架会自动调用中间件。

[[416103]]

本文转载自微信公众号「DotNET技术圈」,作者Ben Foster 。转载本文请联系DotNET技术圈公众号。

在 .NET 5.0 中自定义授权响应

ASP.NET Core 授权框架中经常要求的[1]一项功能是能够在授权失败时自定义 HTTP 响应。

以前,唯一的方法是IAuthorizationService直接在您的控制器中(或通过过滤器)调用授权服务 ,类似于基于资源的授权方法[2]或实现您自己的授权过滤器[3]。

从 .NET 5.0 开始,您现在可以通过实现IAuthorizationMiddlewareResultHandler接口来自定义 HTTP 响应;当授权失败时,授权框架会自动调用中间件。

这是 记录[4]在微软文档的网站,但根据我的具体使用情况我花了不少时间才找到。

问题

我一直在采取措施将旧的 ASP.NET Web API 应用程序移植到 .NET Core 5.0。此 API 具有分层 URI 结构,因此大多数端点将位于“站点”资源下,例如:

  • /sites
  • /sites/{siteId}
  • /sites/{siteId}/blog

为了验证用户是否有权访问指定站点,该应用程序以前使用自定义操作过滤器来提取siteId路由参数并根据用户的声明对其进行验证。迁移到 .NET 5.0 我想利用授权框架来实现这种基于资源的授权,但同样不想在每个控制器中复制这个逻辑。

我的解决方案是实现一个执行类似操作的授权处理程序,获取siteId参数并验证用户的访问权限:

  1. public class SiteAccessAuthorizationHandler : AuthorizationHandler<SiteAccessRequirement> 
  3.     private const string SiteIdRouteParameter = "siteId"
  4.     private readonly ILogger<SiteAccessAuthorizationHandler> _logger; 
  5.  
  6.     public SiteAccessAuthorizationHandler(ILogger<SiteAccessAuthorizationHandler> logger) 
  7.     { 
  8.         _logger = logger.NotNull(nameof(logger)); 
  9.     } 
  10.  
  11.     protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, SiteAccessRequirement requirement) 
  12.     { 
  13.         context.NotNull(nameof(context)); 
  14.         requirement.NotNull(nameof(requirement)); 
  15.  
  16.         if (context.Resource is HttpContext httpContext 
  17.             && httpContext.GetRouteData().Values.TryGetValue(SiteIdRouteParameter, out object? routeValue) 
  18.             && routeValue is string siteId) 
  19.         { 
  20.             string qualifiedId = $"sites/{siteId}"
  21.             AccountPrincipal account = context.User.ToAccount(); 
  22.  
  23.             _logger.LogDebug("Validating access to Site {SiteId} from User {UserId}.", qualifiedId, account.GetAuthIdentifier()); 
  24.  
  25.             if (account.CanAccessSite(qualifiedId)) 
  26.             { 
  27.                 context.Succeed(requirement); 
  28.             } 
  29.             else 
  30.             { 
  31.                 _logger.LogWarning("Site validation failed. User {UserId} is not permitted to access {SiteId}.", account.GetAuthIdentifier(), qualifiedId); 
  32.             } 
  33.         } 
  34.  
  35.         return Task.CompletedTask; 
  36.     } 

然后将其注册为授权策略的一部分:

  1. services.AddAuthorization(options => 
  2. {                 
  3.     options.FallbackPolicy = Policies.FallbackPolicy; 
  4.     options.AddPolicy("SiteAccess", Policies.SiteAccessPolicy); 
  5. }) 
  6.  
  7. public static AuthorizationPolicy SiteAccessPolicy => 
  8.     ConfigureDefaults(new AuthorizationPolicyBuilder()) 
  9.         .AddRequirements(new SiteAccessRequirement()) 
  10.         .Build(); 
  11.  
  12. private static AuthorizationPolicyBuilder ConfigureDefaults(AuthorizationPolicyBuilder builder) 
  13.     => builder.AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme) 
  14.         .RequireAuthenticatedUser() 
  15.         .RequireClaim(JwtClaimTypes.ClientId); 

并应用于控制器和/或动作:

  1. [Authorize(Policy = "SiteAccess")] 
  2. [HttpGet("{siteId}"Name = RouteNames.SiteRoute)] 
  3. public async Task<IActionResult> GetSiteAsync(string siteId, CancellationToken cancellationToken) 
  5.     var site = await _session.LoadAsync<CMS.Domain.Site>($"sites/{siteId}", cancellationToken); 
  6.     return site is null ? NotFound() : Ok(Enrich(_mapper.Map<Site>(site), true)); 

当我尝试访问未映射到当前用户的站点时,我会收到HTTP 403 - Forbidden响应。

这样虽然达到了保护站点资源的目的,但也存在泄露用户无权访问的站点信息的弊端。因此最好返回一个HTTP 404 - Not Found响应。考虑到该站点不存在于用户的站点资源集合中,这在语义上也是有意义的。

如果您想知道为什么我不只是将用户过滤器作为查询的一部分,那是因为用户/帐户与内容域是分开的,并且由于数据模型的设计以及我使用的事实键值存储,验证访问的责任转移到应用层。

解决方案

为了实现上述目标,我们可以使用 newIAuthorizationMiddlewareResultHandler并创建一个处理程序,当由于我的站点访问要求未得到满足而导致授权失败时,该处理程序会转换 HTTP 响应:

  1. public class AuthorizationResultTransformer : IAuthorizationMiddlewareResultHandler 
  3.     private readonly IAuthorizationMiddlewareResultHandler _handler; 
  4.  
  5.     public AuthorizationResultTransformer() 
  6.     { 
  7.         _handler = new AuthorizationMiddlewareResultHandler(); 
  8.     } 
  9.  
  10.     public async Task HandleAsync( 
  11.         RequestDelegate requestDelegate, 
  12.         HttpContext httpContext, 
  13.         AuthorizationPolicy authorizationPolicy, 
  14.         PolicyAuthorizationResult policyAuthorizationResult) 
  15.     { 
  16.         if (policyAuthorizationResult.Forbidden && policyAuthorizationResult.AuthorizationFailure != null
  17.         { 
  18.             if (policyAuthorizationResult.AuthorizationFailure.FailedRequirements.Any(requirement => requirement is SiteAccessRequirement)) 
  19.             { 
  20.                 httpContext.Response.StatusCode = (int)HttpStatusCode.NotFound; 
  21.                 return
  22.             } 
  23.  
  24.             // Other transformations here 
  25.         } 
  26.  
  27.         await _handler.HandleAsync(requestDelegate, httpContext, authorizationPolicy, policyAuthorizationResult); 
  28.     } 

在上面的代码中,我检查授权失败(结果是禁止)和失败的要求,相应地更改HTTP状态代码;否则我们通过调用内置的AuthorizationMiddlewareResultHandler.

为了连接自定义处理程序,它在启动时注册:

  1. services.AddAuthorization(options => 
  2. {                 
  3.     options.FallbackPolicy = Policies.FallbackPolicy; 
  4.     options.AddPolicy("SiteAccess", Policies.SiteAccessPolicy); 
  5. }) 
  6. .AddSingleton<IAuthorizationMiddlewareResultHandler, AuthorizationResultTransformer>(); 

References

[1] 经常要求的: https://github.com/dotnet/aspnetcore/issues/4670

[2] 基于资源的授权方法: https://docs.microsoft.com/en-us/aspnet/core/security/authorization/resourcebased?view=aspnetcore-5.0

[3] 实现您自己的授权过滤器: https://ignas.me/tech/custom-unauthorized-response-body/

[4] 记录: https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/customizingauthorizationmiddlewareresponse?view=aspnetcore-5.0

 

责任编辑:武晓燕 来源: DotNET技术圈
自定义授权响应
相关推荐
.NET Core授权失败如何自定义响应信息?
本文我们来看看在.NET5中为何要出现针对授权失败的中间件接口它是如何一步步衍生出来的呢以及对于授权失败根据实际需要如何自定义响应错误,以及如何获取对应路由信息等等。

2021-07-11 17:17:08

.NET 授权自定义
QtWidget自定义Model
ModelView这个结构是把数据存储与数据表示进行了分离,它与MVC都基于同样的思想,但它更简单一些。这种分离使得在几个不同的view上显示同一个数据成为可能,也可以重新实现新的view,而不必改变底层的数据结构。

2011-06-15 09:24:36

Qt Widget Model
浅析QtWidget自定义Model
本文讲述的是在QtWidget中自定义Model,ModelViewController(MVC),是从Smalltalk发展而来的一种设计模式,常被用于构建用户界面。

2011-06-20 16:54:40

Qt Widget model
聊聊如何实现自定义滑块组件?
整个滑块组通过绝对定位的方式将其定位在web页面的右上角,取消ul列表的默认列表样式,每个滑块的名称、滑块、值居中对齐,只需要简单几个css样式就可以达到这个效果。

2023-01-03 07:40:27

自定义滑块组件
聊聊如何自定义 SwiftUI 符号图像的外观
在SwiftUI中增强符号图像可以显著改善应用程序的外观和感觉。通过调整大小、颜色、渲染模式、可变值和设计变体,我们可以创建使应用程序更直观和视觉吸引力的图标。

2024-08-09 09:02:56

聊聊Vue如何使用自定义插槽Slot
Vue3对插槽的使用进行了简化,并推荐使用新的vslot语法,即使对于默认插槽也是如此。Vue3中对插槽(Slots)的使用进行了改进,使其更加灵活和直观。

2024-06-03 10:00:51

Vue 3语法插槽
.NET自定义控件应该如何实现?
这里将介绍如何实现.NET自定义控件,在.NET平台上我们很喜欢从Control来继承,但是笔者不是很赞同,希望本文能对大家有所帮助。

2009-09-03 13:34:03

.NET自定义控件
.NET WebAPI 自定义返回类:实现统一与灵活的API响应
本文将介绍如何创建自定义返回类,并在WebAPI中使用它们,以便更灵活地控制API的输出。

2024-04-02 09:52:12

自定义返回类API开发
WCF安全之基于自定义声明授权策略
本文将介绍WCF安全之基于自定义声明授权策略,有时我们需要做到对不同的用户授予不同的操作契约的访问,这就是本文讨论的重点。

2009-07-06 13:49:29

Kubernetes自定义Controller
Kubernetes内置了许多Controller,这些Controller能满足80%的业务需求,但是企业里也难免需要自定义Controller来适配自己的业务需求。

2021-11-23 15:06:42

Kubernetes 运维开源
详解ASP.NETSQL Server 2005上自定义分页
这篇文章讲述了如何利用SQLServer2005的新特性来简单高效的实现分页,并结合ASP.NET2.0的方便性来进行分析。

2009-04-09 09:51:09

ASP.NETSQL Server 自定义分页
正确使用ASP.NET2.0自定义provider
本文介绍了在asp.net2.0中使用自定义provider的方法。

2009-07-31 15:42:38

自定义providerASP.NET2.0
Linux命令行自定义文本颜色
在Linux命令行当中使用不同颜色以期提供一种根据文件类型来识别文件的简单方式。你可以修改这些颜色,但是在做之前应该对你做的事情有充分的理由。

2018-07-12 16:22:45

Linux命令行文本颜色
全面学习ADO.NET自定义对象
这里就ADO.NET自定义对象扩展分部数据类、自定义业务逻辑、自定义数据类三方面做出了详细的介绍,希望对大家有帮助。

2009-11-12 16:14:28

ADO.NET自定义对
ASP.NET自定义控件属性浅析
ASP.NET自定义控件属性浅析主要向你介绍自定义控件简单属性和复杂属性,那么他们各是什么呢?让我们关注本文章。

2009-08-06 17:13:56

ASP.NET自定义控
详解ASP.NET自定义样式属性
本文介绍ASP.NET自定义样式属性发现BackColor属性能够呈现但ImageUrl无法呈现,那说明我们刚才自定义的类就失去意义了,也说明我们还未重写某个方法。

2009-08-04 13:35:16

ASP.NET自定义样
ASP.NET自定义控件开发浅析
ASP.NET自定义控件开发是什么呢?ASP.NET自定义控件开发有什么优势么?那么本文就向你介绍相关的信息。

2009-07-28 09:32:41

ASP.NET自定义控
ASP.NET自定义控件入门浅析
ASP.NET自定义控件是什么呢?具体的常用使用属性都有什么呢?ASP.NET自定义控件的这些属性主要的功能是什么呢?本文就向你介绍这方面的内容。

2009-08-10 14:16:59

ASP.NET自定义控
简单说明VB.NET自定义类型API中使用
文章主要是利用API说明VB.NET自定义类型在API中的使用,希望研究API的朋友一定要仔细阅读,相信一定会有技术上的提高的。

2009-11-10 17:12:22

VB.NET自定义类型
带你玩转SpringMVC自定义HTTP请求响应数据转换
自定义HttpMessageConverter是SpringMVC中一个强大的工具,它可以帮助开发者更加灵活地控制数据转换的过程,满足特定的需求。

2023-12-28 08:22:33

响应数据转换
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服