c# .net core项目角色授权机制

前言

角色授权机制是确保应用程序安全性的重要组成部分,它允许开发者根据用户的角色来限制对应用程序中不同资源的访问。

基本概念:

角色授权基于用户角色的访问控制,即根据用户所属的角色来决定其能够访问的资源或执行的操作。在.NET Core中,这通常与身份认证(Authentication)一起使用,以确保只有经过验证的用户才能被授权访问特定资源。

案例

在上一篇blog 中,我们完成了对.net Core项目添加了JWT签名的生成与校验,这里,我们基于上一篇blog中演示的代码中进行改进,在jwt中添加Role信息。

c# .net core项目中使用JWT进行权限校验http://t.csdnimg.cn/XjqqX

角色枚举

首先,我们新建一个枚举AuthorizeRoleName,用于表示不同的角色 。

cs 复制代码
public enum AuthorizeRoleName
{
    Administrator,  
    Editor,  
    Viewer  
}

用户信息增加角色

然后在UserRes中添加一个新的属性RoleName,用于填写用户角色。

cs 复制代码
public class UserRes
{
    /// <summary>
    /// 用户名
    /// </summary>
    [Required]
    public string Name { get; set; }

    /// <summary>
    /// 密码
    /// </summary>
    [Required]
    public string Password { get; set; }

    /// <summary>
    /// 用户角色
    /// </summary>
    [Required]
    public AuthorizeRoleName RoleName { get; set; }
}

再在生成token的时候往claims中加入

cs 复制代码
new Claim("RoleName",user.RoleName.ToString()),

这样,我们调用GetToken接口时就可以设置角色,并存储到token中。

我们来进行测试一下,将接口获取到的token放到在线解析工具JSON Web Tokens - jwt.io中解析一下,可以看到已经有RoleeName的信息了。

增加AdminAuthorizeAttribute类

  • 用途 :这是一个自定义的属性(Attribute),继承自TypeFilterAttribute。它允许开发者通过在其上指定AuthorizeRoleName枚举值,来标记哪些类或方法需要特定的角色授权。
  • 构造函数 :接收一个AuthorizeRoleName枚举类型的参数role,该参数用于指定允许访问的角色。在构造函数中,它调用了基类TypeFilterAttribute的构造函数,并传入了AdminAuthorizeFilter类型的实例,同时将role作为参数传递给AdminAuthorizeFilter
  • 特性 :通过AttributeUsage特性指定了这个自定义属性可以应用于类(Class)或方法(Method),并且允许多次应用(AllowMultiple = true),还可以被子类继承(Inherited = true)。
cs 复制代码
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class AdminAuthorizeAttribute : TypeFilterAttribute
{
    public AuthorizeRoleName Role { get; }

    public AdminAuthorizeAttribute(AuthorizeRoleName role) : base(typeof(AdminAuthorizeFilter))
    {
        Role = role;
        Arguments = new object[] { role };
    }
}

:base(typeof(AdminAuthorizeFilter)): 这是构造函数的初始化器(Constructor Initializer),它调用了基类TypeFilterAttribute的构造函数,并传递了一个参数typeof(AdminAuthorizeFilter)。typeof(AdminAuthorizeFilter)是一个Type对象,它表示AdminAuthorizeFilter类的类型信息。这里,它告诉TypeFilterAttribute,当这个自定义属性被应用时,应该使用AdminAuthorizeFilter类作为过滤器。

增加AdminAuthorizeFilter类

  • 接口实现 :实现了IAuthorizationFilter接口,这意味着它将在MVC或Razor Pages的授权流程中被调用。
  • 构造函数 :接收一个AuthorizeRoleName枚举类型的参数role,这个参数是通过AdminAuthorizeAttribute传递过来的,用于指定允许访问的角色。
  • OnAuthorization方法 :这是授权逻辑的核心。首先,它检查用户是否已认证(即是否已经登录)。如果用户未认证,则返回一个ChallengeResult,这通常会导致用户被重定向到登录页面。如果用户已认证,则通过调用GetCurrentUserRole方法获取用户的角色,并与允许的角色进行比较。如果用户角色不匹配,则返回一个ForbidResult,这通常表示用户没有权限访问该资源,并返回403 Forbidden状态码。
  • GetCurrentUserRole方法 :这是一个辅助方法,用于从HttpContext中提取用户的角色信息。它查找用户声明(Claims)中类型为"RoleName"的声明,并将其值尝试转换为AuthorizeRoleName枚举类型。如果转换成功,则返回该枚举值;如果失败或找不到角色声明,则抛出异常。
cs 复制代码
public class AdminAuthorizeFilter : IAuthorizationFilter
{
    private readonly AuthorizeRoleName _role;

    public AdminAuthorizeFilter(AuthorizeRoleName role)
    {
        _role = role;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        // 检查用户是否已认证  
        if (!context.HttpContext.User.Identity.IsAuthenticated)
        {
            context.Result = new ChallengeResult();
            return;
        }

        // 检查用户是否属于指定的角色通,常涉及到检查用户的Claims或其他安全令牌中的信息  
        // 我们有一个方法GetCurrentUserRole()来获取当前用户的角色  
        var userRole = GetCurrentUserRole(context.HttpContext); 

        if (userRole != _role)
        {
            context.Result = new ForbidResult(); // 或者返回403 Forbidden,取决于你的需求  
        }
    }

    // 
    private AuthorizeRoleName GetCurrentUserRole(HttpContext context)
    {
        var user = context.User;
        var roleClaim = user.Claims.FirstOrDefault(c => c.Type == "RoleName");

        if (roleClaim != null)
        {
            // 将 Claim 的 Value 转换为 AuthorizeRoleName 枚举  
            // 这里需要实现一个转换逻辑,因为 Claim 的 Value 是字符串   
            if (Enum.TryParse<AuthorizeRoleName>(roleClaim.Value, true, out var role))
            {
                return role;
            }

            throw new InvalidOperationException("无法确定用户的角色!");
        }

        throw new InvalidOperationException("角色信息为空!");
    }
}

调整获取用户信息接口

在之前的GetUser接口上增加属性标签

cs 复制代码
[AdminAuthorize(AuthorizeRoleName.Administrator)]

表示只有role为 Administrator 的角色才能访问此接口。

测试一下!

当GetToken时设置Role为0,即(Administrator )时,获得的token去访问GetUser时是可以的。

设置为其他时,则断点会进入这里,接口返回403

项目代码

该项目的案例源代码我已经上传至gitee,需要的可自取

AuthenticationAndAuthorization: .net Core Web Api的Token生成,JWT签名,验证与授权 (gitee.com)https://gitee.com/libihao520/authentication-and-authorization

相关推荐
时光追逐者19 小时前
C#/.NET/.NET Core学习路线集合,学习不迷路!
开发语言·学习·c#·asp.net·.net·.netcore·微软技术
Jeffrey侠客1 天前
.Net Core 6.0 WebApi在Centos中部署
linux·centos·.netcore
技术拾荒者2 天前
.net core mvc 控制器中页面跳转
后端·c#·asp.net·mvc·.netcore
时光追逐者2 天前
Visual Studio 2022:一个功能全面且强大的IDE
ide·c#·.net·.netcore·visual studio
.Net Core 爱好者4 天前
ASP .NET CORE 6 在项目中集成WatchDog开源项目
c#·.net·.netcore
想起你的日子5 天前
.net core 接口,动态接收各类型请求的参数
.netcore
qq_383139845 天前
Quartz实现定时调用接口(.net core2.0)
.netcore
时光追逐者5 天前
一个.NET开源、轻量级的运行耗时统计库 - MethodTimer
开源·c#·asp.net·.net·.netcore·微软技术
小兜全糖(xdqt)6 天前
.net core NPOI以及NOPI mapper
.netcore
小兜全糖(xdqt)6 天前
.net Core 使用Panda.DynamicWebApi动态构造路由
.netcore