使用 IdentityServer4 和 .NET Core 实现基于角色的访问控制

Question

我们有一个现有的数据库，需要使用 IdentityServer4 和 .NET Core 实现基于角色的访问控制。

我的问题是：

1 IdenityServer4 是否支持 RBAC？例如是通过范围声明吗？应该如何实现？

2 我可以使用现有的数据库吗？或者我必须创建一个新数据库吗？

任何建议或代码示例将不胜感激。

https://github.com/IdentityServer/IdentityServer4.Samples/tree/master/Quickstarts/7_EntityFrameworkStorage

更新

我们实施资源所有者密码授权类型和 RBAC。

如有任何建议或代码示例链接，我们将不胜感激。

Answer 1

在 Identity Server 端，您可以创建 Profile Service 以使 IDS4 在颁发令牌时包含 role 声明。

例如，如果使用 ASP.NET Identity 来管理用户/角色，您可以创建配置文件服务，例如：

public class MyProfileService : IProfileService
{
    public MyProfileService()
    { }

    public Task GetProfileDataAsync(ProfileDataRequestContext context)
    {
        var roleClaims = context.Subject.FindAll(JwtClaimTypes.Role);
        List<string> list = context.RequestedClaimTypes.ToList();
        context.IssuedClaims.AddRange(roleClaims);
        return Task.CompletedTask;
    }

    public Task IsActiveAsync(IsActiveContext context)
    {
        // await base.IsActiveAsync(context);
        return Task.CompletedTask;
    }
}

并在 Startup.cs 中注册：

services.AddTransient<IProfileService, MyProfileService>();

在客户端，您应该从您的 JWT 令牌映射角色声明，并在 AddOpenIdConnect 中间件中尝试以下配置：

  options.ClaimActions.MapJsonKey("role", "role", "role");
  options.TokenValidationParameters.RoleClaimType = "role";