這個系列文章介紹的是Identity Server 4 實施 OpenID Connect 的 Hybrid Flow.
保護MVC客戶端: https://www.cnblogs.com/cgzl/p/9253667.html, https://www.cnblogs.com/cgzl/p/9268371.html
保護API資源(這裡用到了RBAC: Role-based Access Control 基於角色的訪問許可權控制 官方文件): https://www.cnblogs.com/cgzl/p/9276278.html
本文介紹如何使用ABAC (Attribute-based Access Control 基於屬性的訪問許可權控制)保護API資源.
相關程式碼: https://github.com/solenovex/Identity-Server-4-Tutorial-Code 裡面04那部分.
ABAC
ABAC, Attribute-based Access Control, 基於屬性的訪問許可權控制. 有時會把它叫做CBAC, Claim-based Access Control (官方文件)或 PBAC, Policy-based Access Control (官方文件). 它們表達的都差不多是一個意思 (儘管ASP.NET Core官方文件把它們分成兩頁介紹).
RBAC vs ABAC
ABAC允許複雜的許可權規則.
程式碼實現
首先可以再新增一個國籍的IdentityResource (scope):
然後配置Client, 允許其請求上面這個scope:
配置API資源, 後邊我需要用到nationality和gender:
最後再TestUser裡面新增一個nationality的claim, 再新增一個gender(性別)的claim:
(這裡我新增了一個Kevin使用者, 後邊會用)
這裡的gender 這個claim是在profile scope裡面預定的, 所以我無需再定義一個包括gender的scope.
然後切換到MVC客戶端專案, 首先要把nationality這個scope新增到需要請求的scopes裡面:
這樣的話國籍就可以通過使用者資訊端點返回了.
由於在MVC客戶端裡面需要識別出國籍這個Identity Claim, 所以需要做一下對映:
接下來就可以建立策略了, 還是在Startup的ConfigureServices裡:
呼叫services.AddAuthorization()方法, 在它的引數裡可以進行配置.
隨後使用AddPolicy()定義了一個策略, 然後在這個方法裡對這個策略進行了配置. 它的名字是"CanViewAbout".
首先這個策略要求使用者已經通過身份認證, 然後國籍claim的值是"China", 性別是女性.
這裡面使用的都是內建的策略選項, 適合相對不太複雜的規則.
其中RequireClaim()可以填寫多個候選值:
在這裡也可以使用RequireRole()方法, 所以角色也可以參與進來.
最後在MVC的HomeController的AboutAction上面:
兩種寫法都是使用的策略(Policy).
使用策略的好處就是, 規則改變的時候, 無需修改Controller裡面的程式碼, 只需要修改策略的配置即可.
下面測試一下MVC客戶端:
登入的是Nick, 她符合策略:
再登入Dave試試, 他不符合策略, 所以結果是Forbidden:
如果需要在cshtml裡面使用策略的話, 請使用(await AuthorizationServices.AuthorizeAsync(User, "CanViewAbout")).Succeeded, 這個方法.
不過現在要cshtml裡面注入這個服務: @inject IAuthorizationService AuthorizationService.
擴充套件授權策略
使用內建的策略選項可以處理一些比較簡單的規則, 但是針對複雜一點的規則, 就需要對策略進行擴充套件了.
ASP.NET Core的這部分文件介紹了這方面的內容: https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-2.1
用下圖解釋一下整個授權的結構:
一個Action可以附加多個授權策略, 它們必須都被滿足.
每個策略可以有多個要求(Requirement), 這些要求可以通過內建的選項來制定, 也可以使用自定義的要求, 自定義的Requirement需要實現IAuthorizationRequirement介面.
每個Requirement都有一個或多個處理者(Handlers), 這些handlers派生於AuthorizationHandler<T>, T就是Requirement的型別. 下面要注意:
如果其中任意一個handler返回Succeed(成功), 而所有的handler都沒有返回失敗, 那麼這個Requirement就被滿足了. 所以handler的處理結果有三種情況: 明確的成功, 明確的失敗, 沒有明確指出是成功還是失敗.
程式碼實現
前一部分保護的是MVC客戶端, 那麼這一部分就來保護API吧.
現在API專案裡建立一個Requirement:
它的建構函式可以傳遞一些引數進來, 但是我這個例子並不需要.
然後建立一個Handler:
裡面就是一些判斷邏輯. AuthorizationHandlerContext.Resource可以轉化為AuthorizationFilterContext, 它裡面有很多東西, 這個可以檢視文件.
如果它是空的, 那麼就返回明確的失敗.
隨後取出使用者的gender和nationality, 分別有兩種情況可以滿足需求, 明確的設定成功. 其它的情況就直接返回, 如果有其它handler存在, 就依賴於其它handler的結果了.
但是如果這個handler成功了, 但是有其它handler是失敗的, 那麼最終還是沒有滿足這個requirement.
最後在API的startup裡面註冊:
註冊Handler的時候選擇的生命週期是Singleton, 但是如果Handler裡面例如注入了Repository, 那麼可以生命週期可以改為Scoped.
最後在API的Controller裡設定許可權策略:
測試, 使用Nick和Dave都應該可以在Contact頁面查詢出Country資源的資料:
但是Kevin就沒有許可權訪問API了:
Hybrid Flow先介紹到這. 有空再介紹下Implicit....