Identity Server 4 - Hybrid Flow - 使用ABAC保护MVC客户端和API资源

这个系列文章介绍的是Identity Server 4 实施 OpenID Connect 的 Hybrid Flow. 

保护MVC客户端: http://www.javashuo.com/article/p-spxopsak-by.html,  http://www.javashuo.com/article/p-dwismktz-w.html

保护API资源(这里用到了RBAC: Role-based Access Control 基于角色的访问权限控制 官方文档): http://www.javashuo.com/article/p-pfganlgj-q.html

本文介绍如何使用ABAC (Attribute-based Access Control 基于属性的访问权限控制)保护API资源.

相关代码: https://github.com/solenovex/Identity-Server-4-Tutorial-Code 里面04那部分.

ABAC

ABAC, Attribute-based Access Control, 基于属性的访问权限控制. 有时会把它叫作CBAC, Claim-based Access Control (官方文档)或 PBAC, Policy-based Access Control (官方文档). 它们表达的都差很少是一个意思 (尽管ASP.NET Core官方文档把它们分红两页介绍).

RBAC vs ABAC

ABAC容许复杂的权限规则.

 

代码实现

首先能够再添加一个国籍的IdentityResource (scope):

 

而后配置Client, 容许其请求上面这个scope:

 

配置API资源, 后边我须要用到nationality和gender:

 

最后再TestUser里面添加一个nationality的claim, 再添加一个gender(性别)的claim:

(这里我添加了一个Kevin用户, 后边会用)

这里的gender 这个claim是在profile scope里面预约的, 因此我无需再定义一个包括gender的scope.

 

而后切换到MVC客户端项目, 首先要把nationality这个scope添加到须要请求的scopes里面:

这样的话国籍就能够经过用户信息端点返回了.

 

因为在MVC客户端里面须要识别出国籍这个Identity Claim, 因此须要作一下映射:

 

接下来就能够建立策略了, 仍是在Startup的ConfigureServices里:

调用services.AddAuthorization()方法, 在它的参数里能够进行配置.

随后使用AddPolicy()定义了一个策略, 而后在这个方法里对这个策略进行了配置. 它的名字是"CanViewAbout".

首先这个策略要求用户已经经过身份认证, 而后国籍claim的值是"China", 性别是女性.

 

这里面使用的都是内置的策略选项, 适合相对不太复杂的规则.

其中RequireClaim()能够填写多个候选值:

在这里也可使用RequireRole()方法, 因此角色也能够参与进来. 

 

最后在MVC的HomeController的AboutAction上面:

两种写法都是使用的策略(Policy).

使用策略的好处就是, 规则改变的时候, 无需修改Controller里面的代码, 只须要修改策略的配置便可.

 

下面测试一下MVC客户端:

登陆的是Nick, 她符合策略:

 

再登入Dave试试, 他不符合策略, 因此结果是Forbidden:

 

若是须要在cshtml里面使用策略的话, 请使用(await AuthorizationServices.AuthorizeAsync(User, "CanViewAbout")).Succeeded, 这个方法.

不过如今要cshtml里面注入这个服务: @inject IAuthorizationService AuthorizationService.

 

扩展受权策略

使用内置的策略选项能够处理一些比较简单的规则, 可是针对复杂一点的规则, 就须要对策略进行扩展了.

ASP.NET Core的这部分文档介绍了这方面的内容: https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-2.1

 

用下图解释一下整个受权的结构:

一个Action能够附加多个受权策略, 它们必须都被知足.

每一个策略能够有多个要求(Requirement), 这些要求能够经过内置的选项来制定, 也可使用自定义的要求, 自定义的Requirement须要实现IAuthorizationRequirement接口.

每一个Requirement都有一个或多个处理者(Handlers), 这些handlers派生于AuthorizationHandler<T>, T就是Requirement的类型. 下面要注意:

若是其中任意一个handler返回Succeed(成功), 而全部的handler都没有返回失败, 那么这个Requirement就被知足了. 因此handler的处理结果有三种状况: 明确的成功, 明确的失败, 没有明确指出是成功仍是失败.

 

代码实现

前一部分保护的是MVC客户端, 那么这一部分就来保护API吧.

如今API项目里创建一个Requirement:

它的构造函数能够传递一些参数进来, 可是我这个例子并不须要.

 

而后创建一个Handler:

里面就是一些判断逻辑. AuthorizationHandlerContext.Resource能够转化为AuthorizationFilterContext, 它里面有不少东西, 这个能够查看文档.

若是它是空的, 那么就返回明确的失败.

随后取出用户的gender和nationality, 分别有两种状况能够知足需求, 明确的设置成功. 其它的状况就直接返回, 若是有其它handler存在, 就依赖于其它handler的结果了.

可是若是这个handler成功了, 可是有其它handler是失败的, 那么最终仍是没有知足这个requirement.

 

最后在API的startup里面注册:

注册Handler的时候选择的生命周期是Singleton, 可是若是Handler里面例如注入了Repository, 那么能够生命周期能够改成Scoped.

 

最后在API的Controller里设置权限策略:

 

测试, 使用Nick和Dave都应该能够在Contact页面查询出Country资源的数据:

 

可是Kevin就没有权限访问API了:

 

Hybrid Flow先介绍到这. 有空再介绍下Implicit....