asp.net core mvc權限控制:分配權限

前面的文章介紹瞭如何進行權限控制,即訪問控制器或者方法的時候,要求當前用戶必須具有特定的權限,可是如何在程序中進行權限的分配呢?下面就介紹下如何利用Microsoft.AspNetCore.Identity.EntityFrameworkCore框架進行權限分配。架構

在介紹分配方法以前,咱們必須理解權限關係,這裏面涉及到三個對象:用戶,角色,權限,權限分配到角色,角色再分配到用戶,當某個用戶屬於某個角色後,這個用戶就具備了角色所包含的權限列表,好比如今有一個信息管理員角色,這個角色包含了信息刪除權限,當張三這個用戶具備信息管理員角色後,張三就具有了信息刪除的權限。在某些特殊場景下,權限也能夠直接分配到用戶,也就是說能夠直接把某些特定的權限,繞過角色,直接分配給用戶。Microsoft.AspNetCore.Identity.EntityFrameworkCore框架中都提供了這樣的支持。mvc

先把框架中主要的業務對象類介紹一下:框架

IdentityUser:表示一個用戶信息asp.net

IdentityRole:表示一個角色信息ide

IdentityRoleClaim<TKey>:表示角色具備的權限ui

IdentityUserClaim<TKey>:表示用戶具備的權限spa

IdentityUserRole<TKey>:表示用戶角色關係.net

 

基本概念理解後,下面咱們就來看一下如何進行權限分配。對象

1,分配權限到角色:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了RoleManager類,類中提供了把權限分配到角色的方法:blog

  Task<IdentityResult> AddClaimAsync(TRole role, Claim claim)

  第一個參數表示對應的角色對象,第二個參數表示一個權限信息

2,分配權限到用戶:Microsoft.AspNetCore.Identity.EntityFrameworkCore中提供了UserManager類,類中提供了把權限分配到用戶的方法:

  Task<IdentityResult> AddClaimAsync(TUser user, Claim claim)

  第一個參數表示對應的用戶對象,第二個參數表示一個權限信息

3,分配用戶到角色:用到的一樣是UserManager類,使用的方法:

  AddToRoleAsync(TUser user, string role)

  第一個參數表示的是用戶對象,第二個是角色的名稱

4,獲取角色當前具備的權限列表:

 Task<IList<Claim>> RoleManager.GetClaimsAsync(TRole role)

5,獲取用戶當前具備的權限列表:

 Task<IList<Claim>> UserManager.GetClaimsAsync(TUser user)

 

 

經過這樣的方式就能夠完成權限分配全過程,再結合前面的權限控制方法,系統就實現了完成的權限控制邏輯。

那如今的問題來了,權限列表從什麼地方來?通常來講,一個業務系統功能肯定後,對應的權限列表也天然就肯定了,再實現分配權限到角色,分配權限到用戶的功能時,只須要在頁面上把全部的權限列出來進行選擇便可,效果圖以下:

把選擇的數據調用對應的方法保存便可。

這個問題解決了,可是新的問題又來了。若是說一個業務功能點特別多,天然會致使權限也會不少,若是徹底經過手工的方式寫到頁面上,那天然工做量會很大很大,再者業務系統可能會不斷地變化,這個時候也會去不斷地修改權限分配頁面,這天然不是一個好的方法,下面我給你們說一個我想的一個方法,不必定是最好的,可是能省很大的事。

首秀咱們須要解決的問題是,如何快速生成這個權限配置列表。

思路就是改造AuthorizeAttribute,在這個特性基礎上增長權限描述信息,用權限描述信息做爲Policy。下面直接上代碼:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited =true)]
  //類名稱能夠改,由於我把系統操做看成資源來管理 public class ResourceAttribute:AuthorizeAttribute { private string _resouceName; private string _action; public ResourceAttribute(string name) { if (string.IsNullOrEmpty(name)) { throw new ArgumentNullException(nameof(name)); } _resouceName = name;        //把資源名稱設置成Policy名稱 Policy = _resouceName; } public string GetResource() { return _resouceName; } public string Action { get { return _action; } set { _action = value; if (!string.IsNullOrEmpty(value)) {
            //把資源名稱跟操做名稱組裝成Policy Policy = _resouceName + "-" + value; } } } }

  

 

類已經定義好了,那咱們就看看如何使用,由於是特性定義,因此能夠在控制器類或者方法上按照下面結構使用:

[Resource("組織架構", Action = "添加部門")]

到這裏基礎工做已經作完,下面還有兩個問題須要解決:

1,Policy如今只是配置了名稱,可是具體驗證規則沒有定義

2,如何獲取全部的權限列表

 

先來看第一個問題,前面的文章介紹了,Policy須要提早在startup裏經過AddAuthorization進行配置,可是如今咱們並無作這樣的步驟,因此目前權限還不會起做用。框架在權限驗證的時候,會依賴一個IAuthorizationPolicyProvider來根據Policy名稱獲取具體的規則,天然咱們會想到自定義一個IAuthorizationPolicyProvider實現,代碼以下:

public class ResourceAuthorizationPolicyProvider : IAuthorizationPolicyProvider
    {
        private  AuthorizationOptions _options;
        public ResourceAuthorizationPolicyProvider(IOptions<AuthorizationOptions> options)
        {
            if (options == null)
            {
                throw new ArgumentNullException(nameof(options));
            }

            _options = options.Value;
        }
        public Task<AuthorizationPolicy> GetDefaultPolicyAsync()
        {
            return Task.FromResult(_options.DefaultPolicy);
        }
  
        public Task<AuthorizationPolicy> GetPolicyAsync(string policyName)
        {
            AuthorizationPolicy policy = _options.GetPolicy(policyName);
       //由於咱們policy的名稱其實就是對應的權限名稱,因此能夠用下列邏輯返回須要的驗證規則 if (policy == null) { string[] resourceValues = policyName.Split(new char[] { '-' }, StringSplitOptions.None); if (resourceValues.Length == 1) { _options.AddPolicy(policyName, builder => { builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], null)); }); } else { _options.AddPolicy(policyName, builder => { builder.AddRequirements(new ClaimsAuthorizationRequirement(resourceValues[0], new string[] { resourceValues[1] })); }); } } return Task.FromResult(_options.GetPolicy(policyName)); } }

實現了IAuthorizationPolicyProvider,咱們就須要在startup.cs的ConfigureServices(IServiceCollection services)方法中進行註冊,操做以下:

services.TryAdd(ServiceDescriptor.Transient<IAuthorizationPolicyProvider, ResourceAuthorizationPolicyProvider>());

 

再來看第二個問題,咱們已經在控制器或者方法上定義了權限信息,關鍵是咱們如何從這些特性裏獲取到權限列表,未來用於權限分配的時候使用。在asp.net core mvc中提供了一個類解析機制,IApplicationModelProvider,這個依賴信息比較多,這裏就不過多介紹,後續我會單獨開一個系列,介紹asp.net core mvc的內部機制。

直接上代碼

public class ResourceApplicationModelProvider : IApplicationModelProvider
    {
        private readonly IAuthorizationPolicyProvider _policyProvider;

        public ResourceApplicationModelProvider(IAuthorizationPolicyProvider policyProvider)
        {
            _policyProvider = policyProvider;
        }
        

        public void OnProvidersExecuted(ApplicationModelProviderContext context)
        {
           
        }

        public void OnProvidersExecuting(ApplicationModelProviderContext context)
        {
            if (context == null)
            {
                throw new ArgumentNullException(nameof(context));
            }

            List<ResourceAttribute> attributeData = new List<ResourceAttribute>();
        //循環獲取全部的控制器 foreach (var controllerModel in context.Result.Controllers) {
        //獲得ResourceAttribute var resourceData = controllerModel.Attributes.OfType<ResourceAttribute>().ToArray(); if (resourceData.Length > 0) { attributeData.AddRange(resourceData); }           //循環控制器方法 foreach (var actionModel in controllerModel.Actions) {
//獲得方法的ResourceAttribute var actionResourceData = actionModel.Attributes.OfType<ResourceAttribute>().ToArray(); if (actionResourceData.Length > 0) { attributeData.AddRange(actionResourceData); } } }        //把全部的resourceattribute的信息寫到一個全局的resourcedata中,resourcedata就能夠在其餘地方進行使用,resourcedata定義後面補充  foreach (var item in attributeData) { ResourceData.AddResource(item.GetResource(), item.Action); } } public int Order { get { return -1000 + 11; } } }

resourcedata定義以下

public class ResourceData
    {
        static ResourceData()
        {
            Resources = new Dictionary<string, List<string>>();
        }

        public static void AddResource(string name)
        {
            AddResource(name, "");
        }

        public static void AddResource(string name,string action)
        {
            if (string.IsNullOrEmpty(name))
            {
                return;
            }
            if (!Resources.ContainsKey(name))
            {
                Resources.Add(name, new List<string>());
            }

            if (!string.IsNullOrEmpty(action) && !Resources[name].Contains(action))
            {
                Resources[name].Add(action);
            }
        }

        public static Dictionary<string, List<string>> Resources { get; set; }
    }

 而後在startup中註冊咱們剛剛定義的IApplicationModelProvider:

services.TryAddEnumerable(ServiceDescriptor.Transient<IApplicationModelProvider, ResourceApplicationModelProvider>());

 而後在權限分配頁面經過ResourceData.Resources就獲取到了全部的權限信息,而後經過循環的方式直接顯示到頁面上便可。 

 

終於寫完了,哈哈~~

 

  附上實例代碼:http://files.cnblogs.com/files/dxp909/AuthorizeSample.rar

相關文章
相關標籤/搜索