這個系列文章介紹的是Identity Server 4 實施 OpenID Connect 的 Hybrid Flow.?

保護MVC客戶端: Identity Server 4 - Hybrid Flow - MVC客戶端身份驗證,??Identity Server 4 - Hybrid Flow - Claims

保護API資源(這里用到了RBAC: Role-based Access Control?基于角色的訪問權限控制?官方文檔):?https://www.cnblogs.com/cgzl/p/9276278.html

本文介紹如何使用ABAC (Attribute-based Access Control 基于屬性的訪問權限控制)保護API資源.

相關代碼:?https://github.com/solenovex/Identity-Server-4-Tutorial-Code?里面04那部分.

ABAC

ABAC, Attribute-based Access Control, 基于屬性的訪問權限控制. 有時會把它叫做CBAC, Claim-based Access Control?(官方文檔)或?PBAC, Policy-based Access Control?(官方文檔). 它們表達的都差不多是一個意思 (盡管ASP.NET Core官方文檔把它們分成兩頁介紹).

RBAC vs ABAC

ABAC允許復雜的權限規則.

?

代碼實現

首先可以再添加一個國籍的IdentityResource (scope):

?

然后配置Client, 允許其請求上面這個scope:

?

配置API資源, 后邊我需要用到nationality和gender:

?

最后再TestUser里面添加一個nationality的claim, 再添加一個gender(性別)的claim:

(這里我添加了一個Kevin用戶, 后邊會用)

這里的gender 這個claim是在profile scope里面預定的, 所以我無需再定義一個包括gender的scope.

?

然后切換到MVC客戶端項目, 首先要把nationality這個scope添加到需要請求的scopes里面:

這樣的話國籍就可以通過用戶信息端點返回了.

?

由于在MVC客戶端里面需要識別出國籍這個Identity Claim, 所以需要做一下映射:

?

接下來就可以創建策略了, 還是在Startup的ConfigureServices里:

調用services.AddAuthorization()方法, 在它的參數里可以進行配置.

隨后使用AddPolicy()定義了一個策略, 然后在這個方法里對這個策略進行了配置. 它的名字是"CanViewAbout".

首先這個策略要求用戶已經通過身份認證, 然后國籍claim的值是"China", 性別是女性.

?

這里面使用的都是內置的策略選項, 適合相對不太復雜的規則.

其中RequireClaim()可以填寫多個候選值:

在這里也可以使用RequireRole()方法, 所以角色也可以參與進來.?

?

最后在MVC的HomeController的AboutAction上面:

兩種寫法都是使用的策略(Policy).

使用策略的好處就是, 規則改變的時候, 無需修改Controller里面的代碼, 只需要修改策略的配置即可.

?

下面測試一下MVC客戶端:

登錄的是Nick, 她符合策略:

?

再登入Dave試試, 他不符合策略, 所以結果是Forbidden:

?

如果需要在cshtml里面使用策略的話, 請使用(await AuthorizationServices.AuthorizeAsync(User, "CanViewAbout")).Succeeded, 這個方法.

不過現在要cshtml里面注入這個服務:?@inject IAuthorizationService AuthorizationService.

?

擴展授權策略

使用內置的策略選項可以處理一些比較簡單的規則, 但是針對復雜一點的規則, 就需要對策略進行擴展了.

ASP.NET Core的這部分文檔介紹了這方面的內容:?https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-2.1

?

用下圖解釋一下整個授權的結構:

一個Action可以附加多個授權策略, 它們必須都被滿足.

每個策略可以有多個要求(Requirement), 這些要求可以通過內置的選項來制定, 也可以使用自定義的要求, 自定義的Requirement需要實現IAuthorizationRequirement接口.

每個Requirement都有一個或多個處理者(Handlers), 這些handlers派生于AuthorizationHandler<T>, T就是Requirement的類型. 下面要注意:

如果其中任意一個handler返回Succeed(成功), 而所有的handler都沒有返回失敗, 那么這個Requirement就被滿足了.?所以handler的處理結果有三種情況: 明確的成功, 明確的失敗, 沒有明確指出是成功還是失敗.

?

代碼實現

前一部分保護的是MVC客戶端, 那么這一部分就來保護API吧.

現在API項目里建立一個Requirement:

它的構造函數可以傳遞一些參數進來, 但是我這個例子并不需要.

?

然后建立一個Handler:

里面就是一些判斷邏輯. AuthorizationHandlerContext.Resource可以轉化為AuthorizationFilterContext, 它里面有很多東西, 這個可以查看文檔.

如果它是空的, 那么就返回明確的失敗.

隨后取出用戶的gender和nationality, 分別有兩種情況可以滿足需求, 明確的設置成功. 其它的情況就直接返回, 如果有其它handler存在, 就依賴于其它handler的結果了.

但是如果這個handler成功了, 但是有其它handler是失敗的, 那么最終還是沒有滿足這個requirement.

?

最后在API的startup里面注冊:

注冊Handler的時候選擇的生命周期是Singleton, 但是如果Handler里面例如注入了Repository, 那么可以生命周期可以改為Scoped.

?

最后在API的Controller里設置權限策略:

?

測試, 使用Nick和Dave都應該可以在Contact頁面查詢出Country資源的數據:

?

但是Kevin就沒有權限訪問API了:

?

Hybrid Flow先介紹到這. 有空再介紹下Implicit....

原文地址：http://www.cnblogs.com/cgzl/p/9282059.html

.NET社區新聞，深度好文，歡迎訪問公眾號文章匯總 http://www.csharpkit.com

總結

以上是生活随笔為你收集整理的Identity Server 4 - Hybrid Flow - 使用ABAC保护MVC客户端和API资源的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。