ASP.NET Core Identity 中的分层策略/要求

Question

我刚刚开始使用 ASP.NET Core Identity 并定义了以下要求：

public sealed class IsCustomerUserRequirement : IAuthorizationRequirement

public sealed class IsSuperUserRequirement : IAuthorizationRequirement

使用以下基本处理程序：

public class IsCustomerUserHandler : AuthorizationHandler<IsCustomerUserRequirement>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, IsCustomerUserRequirement requirement)
    {
        if (context.User.HasClaim(_ => _.Type == "customer"))
        {
            context.Succeed(requirement);
        }

        return Task.CompletedTask;
    }
}

public class IsSuperUserHandler : AuthorizationHandler<IsSuperUserRequirement>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, IsSuperUserRequirement requirement)
    {
        if (context.User.IsInRole("super_user"))
        {
            context.Succeed(requirement);
        }

        return Task.CompletedTask;
    }
}

然后我可以将这些放在基本政策中：

        services
            .AddAuthorization(options =>
            {
                options.AddPolicy("MustBeSuperUser", policy => policy.Requirements.Add(new IsSuperUserRequirement()));
                options.AddPolicy("CustomersOnly", policy => policy.Requirements.Add(new IsCustomerUserRequirement()));
            });

并使用[Authorize("CustomersOnly")] 应用它，效果很好。

我的要求是能够允许超级用户声明具有super_user 角色但没有 customer 声明的主体，也可以访问仅限客户的区域。

我目前已通过将处理程序更改为手动检查来实现这一点：

    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, IsCustomerUserRequirement requirement)
    {
        if (context.User.HasClaim(_ => _.Type == Claims.Customer) ||
            context.User.IsInRole(Roles.SuperUser))
        {
            context.Succeed(requirement);
        }

        return Task.CompletedTask;
    }

我的问题感觉好像我没有抓住重点。有没有更好的方法来定义这个，所以我以后不必在每个处理程序中重复超级用户检查？

---

这一切的大局是我使用 IdentityServer4 (ASP.NET Identity-backed) 进行身份验证，然后打算使用一些基于 JWT 的声明（一个声明，两个角色）来进一步识别用户授权属于特定于应用程序角色/权限结构和一些与 Identity Server 无关的自定义中间件。围绕该主题有哪些最佳实践（如果有）？

Answer 1

“这感觉就像我错过了重点” – 是的，在某种程度上你错过了重点。您正在执行基于角色的授权：用户可以是客户或超级用户。

但是，新模型是基于声明的授权，其中用户对某事有声明，而您正在使用它来授权他们。因此，理想情况下，超级用户将获得与客户相同的声明，并允许以这种方式访问​​资源。这样的声明也不会被称为customer，而是属于用户的财产。

您仍然可以将基于角色的授权模型与声明一起使用，但您应该避免混合它们。正如您自己注意到的那样，这最终会变得有点奇怪。

话虽如此，有多种方法可以使用不同的要求来使策略成功。如果您只使用角色（而不是 customer 声明），您可以简单地使用内置方式：

options.AddPolicy("MustBeSuperUser", policy => policy.RequireRole("super_user"));
options.AddPolicy("CustomersOnly", policy => policy.RequireRole("customer", "super_user"));

这样，CustomersOnly 策略将由customer 和super_user 角色来实现。

由于您没有为客户使用角色，因此您必须在此处遵循您的要求实施。但是，授权要求的工作方式是，您可以为同一要求类型设置多个处理程序，并且只有其中一个需要成功（只要没有一个失败），要求才能成功。

因此您可以让您的IsSuperUserHandler 处理多个需求。您可以按照AuthorizationHandler<T> 的实现来完成这项工作：

public class IsSuperUserHandler : IAuthorizationHandler
{
    public virtual async Task HandleAsync(AuthorizationHandlerContext context)
    {
        foreach (var req in context.Requirements)
        {
            if (req is IsSuperUserRequirement || req is IsCustomerUserRequirement)
            {
                if (context.User.IsInRole("super_user"))
                    context.Succeed(req);
            }
        }
    }
}

所以您的IsSuperUserHandler 现在是IsSuperUserRequirement 和IsCustomerUserRequirement 的授权处理程序。因此，对于超级用户而言，需要 IsCustomerUserRequirement 的 CustomersOnly 策略也将得到满足。