Autorisieren eines Benutzers je nach den Namen der Aktion

Ich habe viele Controller mit vielen Aktionen. Jede Aktion hat eine eigene Rolle ( Role name = ControllerName.actionName ).

In früheren Versionen die ich testen konnte, ob der aktuelle Benutzer kann der Zugang auf eine Aktion oder ein nicht mit einer "generischen" AuthorizeAttribute :

public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
{
    string currentAction = actionContext.ActionDescriptor.ActionName;
    string currentController = actionContext.ActionDescriptor.ControllerDescriptor.ControllerName;
    Roles = (currentController + "." + currentAction).ToLower();
    base.OnAuthorization(actionContext);
}

Mit der version asp.net 5, ich habe festgestellt, dass ich die Anforderungen ( Wie erstellen Sie eine benutzerdefinierte AuthorizeAttribute in ASP.NET Core? ). Das problem ist, dass die AuthorizationContext nicht geben uns die Informationen über die Aktion, die der Benutzer versucht, zu erreichen.

Ich will nicht zu setzen, eine Autorisierung Attribut für jede Aktion gibt es eine Möglichkeit zu erreichen, meine Anforderung an den neuen Rahmen ? ( Ich bevorzuge es, zu vermeiden, mit HttpContext.Aktuelle, es passt nicht gut in einer pipeline-Architektur )

InformationsquelleAutor yeska | 2015-07-28
  1. 47

    Hier ist der Allgemeine Prozess für die Durchsetzung benutzerdefinierte Authentifizierung. Ihre situation kann in der Lage sein, um vollständig gelöst in Schritt eins, da könnte man hinzufügen, ein Anspruch für die Rolle, schmückt Ihr

    1. authentifizieren durch die Schaffung einer Identität für den Benutzer

    Schreiben middleware und einfügen in die pipeline über IApplicationBuilder.UseMiddleware<> ist, wie benutzerdefinierte Authentifizierung erfolgt. Dies ist, wo wir extrahieren was Informationen können später erforderlich, für die Genehmigung, und legen Sie es in eine ClaimsIdentity. Wir haben eine HttpContext hier, so dass wir ergreifen können, Infos aus dem header, cookies, angeforderte Pfad, etc. Hier ist ein Beispiel:

    public class MyAuthHandler : AuthenticationHandler<MyAuthOptions>
{
   protected override Task<AuthenticationTicket> HandleAuthenticateAsync()
   {
      //grab stuff from the HttpContext
      string authHeader = Request.Headers["Authorization"] ?? "";
      string path = Request.Path.ToString() ?? "";

      //make a MyAuth identity with claims specifying what we'll validate against
      var identity = new ClaimsIdentity(new[] {
         new Claim(ClaimTypes.Authentication, authHeader),
         new Claim(ClaimTypes.Uri, path)
      }, Options.AuthenticationScheme);

      var ticket = new AuthenticationTicket(new ClaimsPrincipal(identity), 
         new AuthenticationProperties(), Options.AuthenticationScheme);
      return Task.FromResult(ticket);
   }
}

public class MyAuthOptions : AuthenticationOptions
{
   public const string Scheme = "MyAuth";
   public MyAuthOptions()
   {
      AuthenticationScheme = Scheme;
      AutomaticAuthentication = true;
   }
}

public class MyAuthMiddleware : AuthenticationMiddleware<MyAuthOptions>
{
   public MyAuthMiddleware(
               RequestDelegate next,
               IDataProtectionProvider dataProtectionProvider,
               ILoggerFactory loggerFactory,
               IUrlEncoder urlEncoder,
               IOptions<MyAuthOptions> options,
               ConfigureOptions<MyAuthOptions> configureOptions)
         : base(next, options, loggerFactory, urlEncoder, configureOptions)
   {
   }

   protected override AuthenticationHandler<MyAuthOptions> CreateHandler()
   {
      return new MyAuthHandler();
   }
}

public static class MyAuthMiddlewareAppBuilderExtensions
{
   public static IApplicationBuilder UseMyAuthAuthentication(this IApplicationBuilder app, string optionsName = "")
   {
      return app.UseMiddleware<MyAuthMiddleware>(
         new ConfigureOptions<MyAuthOptions>(o => new MyAuthOptions()) { Name = optionsName });
   }
}

    Nutzen diese middleware fügen Sie diese in Startup.Configure vor dem routing: app.UseMyAuthAuthentication();

    2. autorisieren durch das erzwingen von Anforderungen an die Identität

    Erstellten wir eine Identität für den Benutzer, aber wir müssen noch durchgesetzt werden. Um dies zu tun müssen wir schreiben eine AuthorizationHandler wie diese:

      public class MyAuthRequirement : AuthorizationHandler<MyAuthRequirement>, IAuthorizationRequirement
  {
     public override void Handle(AuthorizationContext context, MyAuthRequirement requirement)
     {
        //grab the identity for the MyAuth authentication
        var myAuthIdentities = context.User.Identities
           .Where(x => x.AuthenticationType == MyAuthOptions.Scheme).FirstOrDefault();
        if (myAuthIdentities == null)
        {
           context.Fail();
           return;
        }

        //grab the authentication header and uri types for our identity
        var authHeaderClaim = myAuthIdentities.Claims.Where(x => x.Type == ClaimTypes.Authentication).FirstOrDefault();
        var uriClaim = context.User.Claims.Where(x => x.Type == ClaimTypes.Uri).FirstOrDefault();
        if (uriClaim == null || authHeaderClaim == null)
        {
           context.Fail();
           return;
        }

        //enforce our requirement (evaluate values from the identity/claims)
        if ( /* passes our enforcement test */ )
        {
           context.Succeed(requirement);
        }
        else
        {
           context.Fail();
        }
     }
  }

    3. fügen Sie die Anforderung handler als Berechtigungs-policy

    Unsere Anforderung Authentifizierung muss noch Hinzugefügt werden, um die Startup.ConfigureServices so dass es verwendet werden kann:

    //add our policy to the authorization configuration
services.ConfigureAuthorization(auth =>
{
   auth.AddPolicy(MyAuthOptions.Scheme, 
      policy => policy.Requirements.Add(new MyAuthRequirement()));
});

    4. verwenden Sie die Autorisierungsrichtlinie

    Der Letzte Schritt ist die Durchsetzung dieser Forderung für bestimmte Aktionen, die durch die Dekoration unserer Aktion oder controller mit [Authorize("MyAuth")]. Wenn wir haben viele Controller, die jeweils mit vielen Maßnahmen, die erforderlich Durchsetzung, dann werden wir das machen wollen, eine Basis-Klasse und nur schmücken Sie, dass einzelne controller.

    Ihre einfachere situation:

    Jede Aktion hat eine eigene Rolle ( Role name = ControllerName.actionName> )

    Wenn Sie bereits alle Ihre Aktionen, fein abgestimmt mit [Authorize(Roles = "controllername.actionname")] dann müssen Sie vermutlich nur Teil #1 oben. Fügen Sie einfach einen neuen Claim(ClaimTypes.Role, "controllername.actionname") gültig ist, für die jeweilige Anfrage.

    • Vielen Dank für deine Antwort, aber ich will, dass die Autorisierung in der frühen pipeline, actionFilter kommt sehr spät und wäre costy nur für die Zulassung.
    • tut (oder können) HTTP-header oder Cookies enthalten Autorisierungs-Informationen, dass kann verwendet werden, um die Rolle zu identifizieren? Wenn Sie sich nur auf die angegebene Aktion aus sind, dann werden Sie brauchen, um abgeschlossen die MVC routing (wegen der default-Werte), bevor Sie wissen, welche Maßnahmen getroffen werden
    • mein header enthält nur ein Zeichen, so dass, wenn die Autorisierung kommt vor dem routing, ich bevorzuge, um eine Analyse der Anforderungs-url selbst, es wäre nicht kompliziert sein
    • Ich habe ein komplettes rewrite zu verwenden, middleware-und Autorisierungs-pipeline
    • zu mir erwähnt, dass Teil 1 ist der generische Weg zu schreiben, middleware, aber es gibt Autorisierungs-spezifische Klassen, die andere Vorteile. Leider gibt es signifikante API-Unterschiede in dieser zwischen den verschiedenen beta-Versionen. Werfen Sie einen Blick auf AuthenticationMiddleware und AuthenticationHandler im asp.net Sicherheits-repo.
    • Ich aktualisiert diese für die beta6 zu nutzen und AuthenticationHandler & AuthenticationMiddleware
    • Ich danke Ihnen sehr für diese sehr umfassende Antwort !
    • kein problem! vielen Dank für die Frage. Was hier funktioniert, aber ich werde verfeinern MyAuthHandler ein bisschen mehr. Wird nach einem update, wenn ich.
    • alle jetzt getan. Nur geändert HandleAuthenticateAsync nicht direkt hinzufügen Context.User seit BaseInitializeAsync führt die wichtigsten wir bieten. Auch entledigte sich der async/await-da es keine Vorteile hier.
    • Sieht aus wie AuthenticationTicket alt ist, finden Sie unter stackoverflow.com/a/37415902/632495
    • Diese Methode erwartet jetzt einen Rückgabetyp Task<AuthenticateResult>, nicht Task<AuthenticationTicket>. Also für auth fehlgeschlagen Sie konnten zurück Task.FromResult(AuthenticateResult.Skip()), und für den Erfolg, den Sie zurückkehren konnten Task.FromResult(AuthenticateResult.Success(ticket)).
    • Gibt es ein Problem mit HandleAuthenticateAsync - Sie können nicht auf der aktuell aufgerufenen controller-Namen, weil MVC (scheinbar) noch nicht gelöst. Fähigkeit zu wissen, die Namen an dieser Stelle würde es erlauben, effizienter Ansprüche Abruf aus der Datenbank beim erstellen ClaimsIdentity - wenn wir wissen, dass die angeforderte Ressource durch einige Schlüssel, können wir verlangen, dass die Datenbank für die bestimmte Ressource Berechtigungen nur und nicht alle möglichen Berechtigungen für diesen Benutzer. Die Optimierung könnte nützlich sein, wenn Sie Ihre web-app nicht Zustand (session) zum Zwischenspeichern von Berechtigungen und lädt Sie auf jede Anfrage.

    InformationsquelleAutor jltrem
Schreibe einen Kommentar