webapi框架搭建-安全机制(三)-简单的基于角色的权限控制
webapi框架搭建系列博客
上一篇已经完成了“身份验证”,若是只是想简单的实现基于角色的权限管理,咱们基本上不用写代码,微软已经提供了authorize特性,直接用就行。html
Authorize特性的使用方法
配置Authorizeweb
比较简单,直接上代码api
using System.Collections.Generic;
using System.Net.Http;
using System.Security.Claims;
using System.Web.Http;
using webapi.Common;
namespace webapi.example
{
[RoutePrefix("api/security")]
public class SecurityTestController : ApiController
{
/// <summary>
/// 经过get请求里传过来的值生成token
/// </summary>
/// <returns></returns>
[Route("token"),HttpGet]
public IHttpActionResult GetToken()
{
var dic=new Dictionary<string,object>();
foreach (var queryNameValuePair in Request.GetQueryNameValuePairs())
{
dic.Add(queryNameValuePair.Key,queryNameValuePair.Value);
}
var token=new JWTHelper().Encode(dic, "shengyu",30);
return Ok(token);
}
/// <summary>
/// 返回token里加密的信息
/// </summary>
/// <returns></returns>
[Route("GetUserInfoFromToken"),HttpGet]
public IHttpActionResult GetUser()
{
var user = (ClaimsPrincipal)User;
var dic=new Dictionary<string,object>();
foreach (var userClaim in user.Claims)
{
dic.Add(userClaim.Type,userClaim.Value);
}
return Ok(dic);
}
#region 硬编码的方式实现简单的权限控制
/// <summary>
/// 只有某种角色的用户才有权限访问
/// </summary>
/// <returns></returns>
[Route("byCode/onlyRoles"), Authorize(Roles = "admin,superAdmin"),HttpGet]
public IHttpActionResult OnlyRoles_SetByCode()
{
return Ok("OnlyRoles_SetByCode,仅管理员能访问");
}
/// <summary>
/// 只有某几个用户才有权限访问
/// </summary>
/// <returns></returns>
[Route("byCode/onlyUsers"), Authorize(Users = "张三,李四"),HttpGet]
public IHttpActionResult OnlyUsers_SetByCode()
{
return Ok("OnlyRoles_SetByCode,仅张三和李四才能访问");
}
#endregion
}
}
Authorize特性有Roles和Users两个属性,设置这两个属性的值及能够控制哪些角色/用户有权限访问。Authorize特性能够用于修饰类或是方法,若是整个控制器都要用权限控制,则修饰这个控制器类,不然只修饰在某个接口上。若是控制器被修饰了但又要排除某一个action,可用AllowAnonymous特性进行排除。安全
获取token框架
如今获取一个token,这个token里包含了“角色为admin”的信息,以下ide
用上一篇:webapi框架搭建-安全机制-身份验证(二)里的获取token的接口获取一个role为admin的tokenpost
请求须要权限的接口编码
请求须要角色为admin或是superAdmin的接口SecurityTestController.OnlyRoles_SetByCode(),注意将上一步生成的token放到http request的header里加密
你可尝试在“获取token"步骤里生成非admin角色的token,那么在这一步里会出现受权失败的错误,以下图spa
一样原理,在”获取token"步骤里user设置成“张三”或“李四”时,就能够用此token访问SecurityTestController.OnlyUsers_SetByCode()接口了。
在实际开发中,获取token的接口(即方法SecurityTestController.GetToken())里的代码一般写在用户登陆接口里,用户经过用户名和密码登陆成功后,接口访问一个token给客户端,之后客户端的每次接口请求都在headers里带上这个token。微软提供的默认authorize特性在小项目和中型的对权限控制没有复杂要求的项目里已经够用了。缺点是项目开发前得肯定好业务的各类角色,由于要以“硬编码”的方式写在接口方法上。后期若是要修改一个接口的所属角色,只有从新修改代码。
若是要实现更加可控的基于角色的权限控制,只有本身写Authorize filter。下面介绍如何写本身的authorize filter。
自定义Authorize filter
可经过继承下面三个对象之一去写本身的authorize filter
即:AuthorizeAttribute、AuthorizationFilterAttribute、IAuthorizationFilter,三者的关系以下图
我采用继承AuthorizeAttribute,并重写IsAuthorized方法,代码以下
using System.Net;
using System.Net.Http;
using System.Web.Http;
using System.Web.Http.Controllers;
namespace webapi.Security
{
/// <summary>
/// Role Basic AuthorizeAttribute(基于角色的受权)
/// </summary>
public class RBAuthorizeAttribute:AuthorizeAttribute
{
protected override bool IsAuthorized(HttpActionContext actionContext)
{
// 下在可替换成本身的受权逻辑代码
return base.IsAuthorized(actionContext);
}
protected override void HandleUnauthorizedRequest(HttpActionContext actionContext)
{
actionContext.Response =
actionContext.ControllerContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "未受权");
}
}
}
RBAuthorize特性和Authorize特性用法是同样的,再也不重复。后续的博客里会引入基于角色的权限管理的表结构,并在IsAuthorized方法里写受权逻辑。
- 1. webapi框架搭建-安全机制(四)-可配置的基于角色的权限控制
- 2. webapi框架搭建-安全机制(一)
- 3. rbac(基于角色权限控制)-------权限管理
- 4. ASP.net MVC 基于角色的权限控制系统的实现
- 5. RBAC-基于角色权限的访问控制和基于资源的权限访问控制
- 6. 【Kubernetes】基于角色的权限控制:RBAC
- 7. YIi 权限管理和基于角色的访问控制
- 8. 图文详解基于角色的权限控制模型RBAC
- 9. 基于角色的权限控制实践
- 10. thinkphp基于角色的权限控制详解
- 更多相关文章...
- • ARP协议的工作机制详解 - TCP/IP教程
- • TiDB数据库的管理机制 - NoSQL教程
- • 漫谈MySQL的锁机制
- • Docker容器实战(六) - 容器的隔离与限制
-
每一个你不满意的现在,都有一个你没有努力的曾经。