Identity Server 4 - Hybrid Flow - 使用ABAC保護MVC客戶端和API資源

這個系列文章介紹的是Identity Server 4 實施 OpenID Connect 的 Hybrid Flow. 

保護MVC客戶端: http://www.javashuo.com/article/p-spxopsak-by.html,  http://www.javashuo.com/article/p-dwismktz-w.html

保護API資源(這裏用到了RBAC: Role-based Access Control 基於角色的訪問權限控制 官方文檔): http://www.javashuo.com/article/p-pfganlgj-q.html

本文介紹如何使用ABAC (Attribute-based Access Control 基於屬性的訪問權限控制)保護API資源.

相關代碼: https://github.com/solenovex/Identity-Server-4-Tutorial-Code 裏面04那部分.

ABAC

ABAC, Attribute-based Access Control, 基於屬性的訪問權限控制. 有時會把它叫作CBAC, Claim-based Access Control (官方文檔)或 PBAC, Policy-based Access Control (官方文檔). 它們表達的都差很少是一個意思 (儘管ASP.NET Core官方文檔把它們分紅兩頁介紹).

RBAC vs ABAC

ABAC容許複雜的權限規則.

 

代碼實現

首先能夠再添加一個國籍的IdentityResource (scope):

 

而後配置Client, 容許其請求上面這個scope:

 

配置API資源, 後邊我須要用到nationality和gender:

 

最後再TestUser裏面添加一個nationality的claim, 再添加一個gender(性別)的claim:

(這裏我添加了一個Kevin用戶, 後邊會用)

這裏的gender 這個claim是在profile scope裏面預約的, 因此我無需再定義一個包括gender的scope.

 

而後切換到MVC客戶端項目, 首先要把nationality這個scope添加到須要請求的scopes裏面:

這樣的話國籍就能夠經過用戶信息端點返回了.

 

因爲在MVC客戶端裏面須要識別出國籍這個Identity Claim, 因此須要作一下映射:

 

接下來就能夠建立策略了, 仍是在Startup的ConfigureServices裏:

調用services.AddAuthorization()方法, 在它的參數裏能夠進行配置.

隨後使用AddPolicy()定義了一個策略, 而後在這個方法裏對這個策略進行了配置. 它的名字是"CanViewAbout".

首先這個策略要求用戶已經經過身份認證, 而後國籍claim的值是"China", 性別是女性.

 

這裏面使用的都是內置的策略選項, 適合相對不太複雜的規則.

其中RequireClaim()能夠填寫多個候選值:

在這裏也可使用RequireRole()方法, 因此角色也能夠參與進來. 

 

最後在MVC的HomeController的AboutAction上面:

兩種寫法都是使用的策略(Policy).

使用策略的好處就是, 規則改變的時候, 無需修改Controller裏面的代碼, 只須要修改策略的配置便可.

 

下面測試一下MVC客戶端:

登陸的是Nick, 她符合策略:

 

再登入Dave試試, 他不符合策略, 因此結果是Forbidden:

 

若是須要在cshtml裏面使用策略的話, 請使用(await AuthorizationServices.AuthorizeAsync(User, "CanViewAbout")).Succeeded, 這個方法.

不過如今要cshtml裏面注入這個服務: @inject IAuthorizationService AuthorizationService.

 

擴展受權策略

使用內置的策略選項能夠處理一些比較簡單的規則, 可是針對複雜一點的規則, 就須要對策略進行擴展了.

ASP.NET Core的這部分文檔介紹了這方面的內容: https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-2.1

 

用下圖解釋一下整個受權的結構:

一個Action能夠附加多個受權策略, 它們必須都被知足.

每一個策略能夠有多個要求(Requirement), 這些要求能夠經過內置的選項來制定, 也可使用自定義的要求, 自定義的Requirement須要實現IAuthorizationRequirement接口.

每一個Requirement都有一個或多個處理者(Handlers), 這些handlers派生於AuthorizationHandler<T>, T就是Requirement的類型. 下面要注意:

若是其中任意一個handler返回Succeed(成功), 而全部的handler都沒有返回失敗, 那麼這個Requirement就被知足了. 因此handler的處理結果有三種狀況: 明確的成功, 明確的失敗, 沒有明確指出是成功仍是失敗.

 

代碼實現

前一部分保護的是MVC客戶端, 那麼這一部分就來保護API吧.

如今API項目裏創建一個Requirement:

它的構造函數能夠傳遞一些參數進來, 可是我這個例子並不須要.

 

而後創建一個Handler:

裏面就是一些判斷邏輯. AuthorizationHandlerContext.Resource能夠轉化爲AuthorizationFilterContext, 它裏面有不少東西, 這個能夠查看文檔.

若是它是空的, 那麼就返回明確的失敗.

隨後取出用戶的gender和nationality, 分別有兩種狀況能夠知足需求, 明確的設置成功. 其它的狀況就直接返回, 若是有其它handler存在, 就依賴於其它handler的結果了.

可是若是這個handler成功了, 可是有其它handler是失敗的, 那麼最終仍是沒有知足這個requirement.

 

最後在API的startup裏面註冊:

註冊Handler的時候選擇的生命週期是Singleton, 可是若是Handler裏面例如注入了Repository, 那麼能夠生命週期能夠改成Scoped.

 

最後在API的Controller裏設置權限策略:

 

測試, 使用Nick和Dave都應該能夠在Contact頁面查詢出Country資源的數據:

 

可是Kevin就沒有權限訪問API了:

 

Hybrid Flow先介紹到這. 有空再介紹下Implicit....