针对不同角色的不同 API 功能答案

【问题标题】：Different API functionality for different roles针对不同角色的不同 API 功能
【发布时间】：2018-11-07 08:55:08
【问题描述】：

我有带有 asp.net core 2.1 的 API。基于声明的身份验证。是否可以将这两个api函数合二为一？

[Authorize(Roles = "Admin")]
[HttpPost("delete")]
public IActionResult Delete([FromBody]Item item)
{
    _itemService.Delete(item.Id);
    return Ok();
}

[Authorize]
[HttpPost("delete")]
public IActionResult Delete([FromBody]Item item)
{
    var id = int.Parse(User.FindFirst(ClaimTypes.NameIdentifier).Value);
    if (_itemService.IsAuthor(id))
    {
        _itemService.Delete(item.Id);
        return Ok();
    }
    return Forbid();
}

或者我应该只检查方法内部的角色？

【问题讨论】：

Resource-based authorization 在这里可能有用。
在这种情况下，使用授权处理程序的自定义策略可能是最佳选择。 docs.microsoft.com/en-us/aspnet/core/security/authorization/…

标签： c# asp.net-core asp.net-core-2.0

【解决方案1】：

要检查用户是Admin 还是Author 的权限，您可以将multiple requirements 实现为来自@user2884707bond 的文档。

用于在您的场景中使用 multiple requrements。

您可以按照以下步骤操作：

PermissionHandler.cs

        public class PermissionHandler : IAuthorizationHandler
{
    public Task HandleAsync(AuthorizationHandlerContext context)
    {
        var pendingRequirements = context.PendingRequirements.ToList();

        foreach (var requirement in pendingRequirements)
        {
            if (requirement is ReadPermission)
            {
                if (IsOwner(context.User, context.Resource) ||
                    IsAdmin(context.User, context.Resource))
                {
                    context.Succeed(requirement);
                }
            }
            else if (requirement is EditPermission ||
                     requirement is DeletePermission)
            {
                if (IsOwner(context.User, context.Resource))
                {
                    context.Succeed(requirement);
                }
            }
        }
        return Task.CompletedTask;
    }
    private bool IsAdmin(ClaimsPrincipal user, object resource)
    {
        if (user.IsInRole("Admin"))
        {
            return true;
        }
        return false;
    }

    private bool IsOwner(ClaimsPrincipal user, object resource)
    {
        // Code omitted for brevity

        return true;
    }

    private bool IsSponsor(ClaimsPrincipal user, object resource)
    {
        // Code omitted for brevity

        return true;
    }
}

要求

    public class ReadPermission : IAuthorizationRequirement
{
    // Code omitted for brevity
}
public class EditPermission : IAuthorizationRequirement
{
    // Code omitted for brevity
}
public class DeletePermission : IAuthorizationRequirement
{
    // Code omitted for brevity
}

在Startup.cs注册Requirement

        services.AddAuthorization(options =>
    {
        options.AddPolicy("Read", policy => policy.AddRequirements(new ReadPermission()));                
    });
    services.AddSingleton<IAuthorizationHandler, PermissionHandler>();

使用

 [Authorize(Policy = "Read")]
 [HttpPost("delete")]
 public IActionResult Delete([FromBody]Item item)
 {
      _itemService.Delete(item.Id);
      return Ok();
  }

【讨论】：

我想知道是否需要在需求中实现什么？或者它可以是空的？以及如何在 IsOwner 方法中使用资源参数？需要将其转换为其他类并访问其中的属性吗？