策略實(shí)際上允許角色為內(nèi)容編輯者或高級(jí)用戶的用戶

　　光定義策略還不夠，還必須向授權(quán)中間件注冊(cè)策略。為此，請(qǐng)?jiān)?Startup 類的 ConfigureServices 方法中，將授權(quán)中間件添加為服務(wù)，如下所示：

　　services.AddAuthorization(options=>{ options.AddPolicy("ContentsEditor", policy => { policy.AddAuthenticationSchemes("Cookie, Bearer"); policy.RequireAuthenticatedUser(); policy.RequireRole("Admin"); policy.RequireClaim("editor", "contents"); });}

　　添加到中間件的每個(gè)策略都有一個(gè)名稱，用于在 Controller 類的 Authorize 屬性中引用策略：

　　[Authorize(Policy = "ContentsEditor")]publicIActionResult Save(Article article){ // ...}

　　使用 Authorize 屬性，可以聲明的方式設(shè)置策略，但也可以通過(guò)操作方法以編程方式調(diào)用策略，如圖 2所示。

　　圖 2：以編程方式檢查策略

　　publicclassAdminController : Controller{ privateIAuthorizationService _authorization; publicAdminController(IAuthorizationService authorizationService) { _authorization = authorizationService; } publicasyncTask{ options.AddPolicy("ContentsEditor", policy => { policy.AddAuthenticationSchemes("Cookie, Bearer"); policy.RequireAuthenticatedUser(); policy.RequireRole("Admin"); policy.RequireClaim("editor", "contents"); });}

　　添加到中間件的每個(gè)策略都有一個(gè)名稱，用于在 Controller 類的 Authorize 屬性中引用策略：

　　[Authorize(Policy = "ContentsEditor")]publicIActionResult Save(Article article){ // ...}

　　使用 Authorize 屬性，可以聲明的方式設(shè)置策略，但也可以通過(guò)操作方法以編程方式調(diào)用策略，如圖 2所示。

　　圖 2：以編程方式檢查策略

　　publicclassAdminController : Controller{ privateIAuthorizationService _authorization; publicAdminController(IAuthorizationService authorizationService) { _authorization = authorizationService; } publicasyncTask { policy.AddAuthenticationSchemes("Cookie, Bearer"); policy.RequireAuthenticatedUser(); policy.RequireRole("Admin"); policy.RequireClaim("editor", "contents"); });}

　　添加到中間件的每個(gè)策略都有一個(gè)名稱ASPCMS批量添加產(chǎn)品 ，用于在 Controller 類的 Authorize 屬性中引用策略：

　　[Authorize(Policy = "ContentsEditor")]publicIActionResult Save(Article article){ // ...}

　　使用 Authorize 屬性，可以聲明的方式設(shè)置策略，但也可以通過(guò)操作方法以編程方式調(diào)用策略，如圖 2所示。

　　圖 2：以編程方式檢查策略

　　publicclassAdminController : Controller{ privateIAuthorizationService _authorization; publicAdminController(IAuthorizationService authorizationService) { _authorization = authorizationService; } publicasyncTask Save(Article article) { varallowed = await_authorization.AuthorizeAsync( User, "ContentsEditor")); if(!allowed) returnnewForbiddenResult(); // Proceed with the method implementation ... }}

　　如果無(wú)法以編程方式檢查權(quán)限，建議返回 ForbiddenResult 對(duì)象。另一種選擇是，返回 ChallengeResult 對(duì)象。

　　在 ASP.NET Core 1.x 中ASPCMS批量刪除關(guān)鍵詞 ，返回質(zhì)詢會(huì)指示授權(quán)中間件返回 401 狀態(tài)代碼，或?qū)⒂脩糁囟ㄏ虻降卿涰?yè)，具體視配置而定。

　　不過(guò)，ASP.NET Core 2.0 中不會(huì)發(fā)生重定向；即使在 ASP.NET Core 1.x 中，如果用戶已登錄，質(zhì)詢最終也會(huì)指示返回 ForbiddenResult 對(duì)象。最后看來(lái)，最好的方法是在無(wú)法檢查權(quán)限時(shí)返回 ForbiddenResult 對(duì)象。

　　請(qǐng)注意，甚至可以在 Razor 視圖中以編程方式檢查策略，如下面的代碼所示：

　　@{ varauthorized = awaitAuthorization.AuthorizeAsync( User, "ContentsEditor"))}@if(!authorized){  You’re not authorized to access thispage.

　　}

　　不過(guò)，為了讓此代碼能夠正常運(yùn)行，必須先注入對(duì)授權(quán)服務(wù)的依賴ASPCMS批量上傳內(nèi)容 ，如下所示：

　　@inject IAuthorizationService Authorization

　　在視圖中使用授權(quán)服務(wù)，有助于隱藏當(dāng)前用戶在給定上下文中不得接觸到的 UI 元素。但請(qǐng)注意，光在視圖中隱藏選項(xiàng)還不夠。始終還需要在控制器中強(qiáng)制執(zhí)行策略。

　　自定義要求

　　常備要求基本上涵蓋了聲明、身份驗(yàn)證，并提供了常規(guī)用途機(jī)制，用于根據(jù)斷言進(jìn)行自定義，但也可以創(chuàng)建自定義要求。

　　策略要求由以下兩種元素組成：僅保留數(shù)據(jù)的要求類，以及對(duì)用戶驗(yàn)證數(shù)據(jù)的授權(quán)處理程序。創(chuàng)建自定義要求，還可以進(jìn)一步表達(dá)特定策略。例如，假設(shè)要將內(nèi)容編輯者策略擴(kuò)展為，增添用戶至少必須有三年經(jīng)驗(yàn)的要求。具體代碼如下：

　　publicclassExperienceRequirement : IAuthorizationRequirement{ publicintYears { get; privateset; } publicExperienceRequirement(intminimumYears) { Years = minimumYears; }}

　　要求至少必須有一個(gè)授權(quán)處理程序。處理程序的類型為 AuthorizationHandler，其中 T 是要求類型。圖 3 展示了 ExperienceRequirement 類型的示例處理程序。

　　圖 3：示例授權(quán)處理程序

　　publicclassExperienceHandler : AuthorizationHandler{ protectedoverrideTask HandleRequirementAsync( AuthorizationHandlerContext context, ExperienceRequirement requirement) { // Save User object to access claimsvaruser = context.User; if(!user.HasClaim(c => c.Type == "EditorSince")) returnTask.CompletedTask; varsince = user.FindFirst("EditorSince").Value.ToInt(); if(since >= requirement.Years) context.Succeed(requirement); returnTask.CompletedTask; }}

　　示例授權(quán)處理程序讀取與用戶關(guān)聯(lián)的聲明，并檢查自定義 EditorSince 聲明。如果找不到，處理程序便無(wú)法返回成功。只有在找到聲明且包含的整數(shù)值不低于指定年數(shù)時(shí)，才能返回成功。

　　自定義聲明應(yīng)為一條信息，以某種方式與保存到身份驗(yàn)證 Cookie 中的用戶相關(guān)聯(lián)（例如，“用戶”表中的列）。

　　不過(guò)，一旦保留對(duì)用戶的引用，便始終可以從聲明中找到用戶名，并對(duì)任何數(shù)據(jù)庫(kù)或外部服務(wù)運(yùn)行查詢，以獲取經(jīng)驗(yàn)?zāi)陻?shù)，從而在處理程序中使用此信息。（我承認(rèn)，如果 EditorSince 值保留 DateTime，并計(jì)算用戶擔(dān)任編輯者是否已有一定年數(shù)，此示例會(huì)更真實(shí)一點(diǎn)。）

　　授權(quán)處理程序調(diào)用方法 Succeed，同時(shí)傳遞當(dāng)前要求，以通知此要求已成功得到驗(yàn)證。如果沒(méi)有傳遞要求，處理程序無(wú)需執(zhí)行任何操作，可以直接返回內(nèi)容。不過(guò)，如果處理程序要確定是否不符合要求（無(wú)論其他處理程序是否已成功驗(yàn)證同一要求），將會(huì)對(duì)授權(quán)上下文對(duì)象調(diào)用方法 Fail。

　　下面展示了如何將自定義要求添加到策略（請(qǐng)注意，由于這是自定義要求，因此沒(méi)有擴(kuò)展方法，而必須繼續(xù)處理策略對(duì)象的整個(gè) Requirements 集合）：

　　services.AddAuthorization(options =>{ options.AddPolicy("AtLeast3Years", policy => policy .Requirements .Add(newExperienceRequirement(3)));});

　　此外，還需要在 IAuthorizationHandler 類型的范圍內(nèi)向 DI 系統(tǒng)注冊(cè)新的處理程序：

　　services.AddSingleton c.Type == "EditorSince")) returnTask.CompletedTask; varsince = user.FindFirst("EditorSince").Value.ToInt(); if(since >= requirement.Years) context.Succeed(requirement); returnTask.CompletedTask; }}

　　示例授權(quán)處理程序讀取與用戶關(guān)聯(lián)的聲明，并檢查自定義 EditorSince 聲明。如果找不到，處理程序便無(wú)法返回成功。只有在找到聲明且包含的整數(shù)值不低于指定年數(shù)時(shí)，才能返回成功。

　　自定義聲明應(yīng)為一條信息，以某種方式與保存到身份驗(yàn)證 Cookie 中的用戶相關(guān)聯(lián)（例如，“用戶”表中的列）。

　　不過(guò)，一旦保留對(duì)用戶的引用，便始終可以從聲明中找到用戶名ASPCMS批量更新文章，并對(duì)任何數(shù)據(jù)庫(kù)或外部服務(wù)運(yùn)行查詢，以獲取經(jīng)驗(yàn)?zāi)陻?shù)，從而在處理程序中使用此信息。（我承認(rèn)，如果 EditorSince 值保留 DateTime，并計(jì)算用戶擔(dān)任編輯者是否已有一定年數(shù)，此示例會(huì)更真實(shí)一點(diǎn)。）

　　授權(quán)處理程序調(diào)用方法 Succeed，同時(shí)傳遞當(dāng)前要求，以通知此要求已成功得到驗(yàn)證。如果沒(méi)有傳遞要求，處理程序無(wú)需執(zhí)行任何操作，可以直接返回內(nèi)容。不過(guò)，如果處理程序要確定是否不符合要求（無(wú)論其他處理程序是否已成功驗(yàn)證同一要求），將會(huì)對(duì)授權(quán)上下文對(duì)象調(diào)用方法 Fail。

　　下面展示了如何將自定義要求添加到策略（請(qǐng)注意，由于這是自定義要求，因此沒(méi)有擴(kuò)展方法，而必須繼續(xù)處理策略對(duì)象的整個(gè) Requirements 集合）：

　　services.AddAuthorization(options =>{ options.AddPolicy("AtLeast3Years", policy => policy .Requirements .Add(newExperienceRequirement(3)));});

　　此外，還需要在 IAuthorizationHandler 類型的范圍內(nèi)向 DI 系統(tǒng)注冊(cè)新的處理程序：

　　services.AddSingleton= requirement.Years) context.Succeed(requirement); returnTask.CompletedTask; }}

　　示例授權(quán)處理程序讀取與用戶關(guān)聯(lián)的聲明，并檢查自定義 EditorSince 聲明。如果找不到，處理程序便無(wú)法返回成功。只有在找到聲明且包含的整數(shù)值不低于指定年數(shù)時(shí)，才能返回成功。

　　自定義聲明應(yīng)為一條信息，以某種方式與保存到身份驗(yàn)證 Cookie 中的用戶相關(guān)聯(lián)（例如，“用戶”表中的列）。

　　不過(guò)，一旦保留對(duì)用戶的引用，便始終可以從聲明中找到用戶名，并對(duì)任何數(shù)據(jù)庫(kù)或外部服務(wù)運(yùn)行查詢，以獲取經(jīng)驗(yàn)?zāi)陻?shù)，從而在處理程序中使用此信息。（我承認(rèn)，如果 EditorSince 值保留 DateTime，并計(jì)算用戶擔(dān)任編輯者是否已有一定年數(shù)，此示例會(huì)更真實(shí)一點(diǎn)。）

　　授權(quán)處理程序調(diào)用方法 Succeed，同時(shí)傳遞當(dāng)前要求，以通知此要求已成功得到驗(yàn)證。如果沒(méi)有傳遞要求，處理程序無(wú)需執(zhí)行任何操作，可以直接返回內(nèi)容。不過(guò)，如果處理程序要確定是否不符合要求（無(wú)論其他處理程序是否已成功驗(yàn)證同一要求），將會(huì)對(duì)授權(quán)上下文對(duì)象調(diào)用方法 Fail。

　　下面展示了如何將自定義要求添加到策略（請(qǐng)注意，由于這是自定義要求，因此沒(méi)有擴(kuò)展方法，而必須繼續(xù)處理策略對(duì)象的整個(gè) Requirements 集合）：

　　services.AddAuthorization(options =>{ options.AddPolicy("AtLeast3Years", policy => policy .Requirements .Add(newExperienceRequirement(3)));});

　　此外，還需要在 IAuthorizationHandler 類型的范圍內(nèi)向 DI 系統(tǒng)注冊(cè)新的處理程序：

　　services.AddSingleton{ options.AddPolicy("AtLeast3Years", policy => policy .Requirements .Add(newExperienceRequirement(3)));});

　　此外，還需要在 IAuthorizationHandler 類型的范圍內(nèi)向 DI 系統(tǒng)注冊(cè)新的處理程序：

　　services.AddSingleton policy .Requirements .Add(newExperienceRequirement(3)));});

　　此外，還需要在 IAuthorizationHandler 類型的范圍內(nèi)向 DI 系統(tǒng)注冊(cè)新的處理程序：

　　services.AddSingleton();

　　如前所述，要求可包含多個(gè)處理程序。如果為授權(quán)層的同一要求向 DI 系統(tǒng)注冊(cè)多個(gè)處理程序，有一個(gè)成功就足夠了。

　　訪問(wèn)當(dāng)前 HttpContext

　　在實(shí)現(xiàn)授權(quán)處理程序的過(guò)程中，可能需要檢查請(qǐng)求屬性或路由數(shù)據(jù)，如下所示：

　　if(context.Resource isAuthorizationFilterContext mvc){ varurl = mvc.HttpContext.Request.GetDisplayUrl(); ...}

　　在 ASP.NET Core 中，AuthorizationHandlerContext 對(duì)象向 FilterContext 對(duì)象公開(kāi) Resource 屬性集。上下文對(duì)象因所涉及的框架而異。例如，MVC 和 SignalR 發(fā)送自己的特定對(duì)象。是否發(fā)生轉(zhuǎn)換視需要訪問(wèn)的內(nèi)容而定。例如，用戶信息始終可用，所以無(wú)需為此進(jìn)行轉(zhuǎn)換；但若要獲取 MVC 專屬詳細(xì)信息（如路由信息），則需要進(jìn)行轉(zhuǎn)換。

　　總結(jié)

　　在 ASP.NET Core 中，授權(quán)分為兩種。一種是基于角色的傳統(tǒng)授權(quán)，它的工作原理與在經(jīng)典 ASP.NET MVC 中的工作原理相同，但仍存在相當(dāng)平面化的結(jié)構(gòu)限制，不適合表達(dá)復(fù)雜的授權(quán)邏輯。

　　基于策略的身份驗(yàn)證是一種新方法，可提供更豐富、更易表達(dá)的模型。這是因?yàn)椋呗园幌盗谢诼暶鞯囊螅约盎诳蓮?HTTP 上下文或外部源注入的其他任何信息的自定義邏輯。這些要求各自與一個(gè)或多個(gè)處理程序相關(guān)聯(lián)，這些處理程序負(fù)責(zé)要求的實(shí)際計(jì)算。

　　Dino Esposito是《Microsoft .NET：構(gòu)建面向企業(yè)的應(yīng)用程序》（Microsoft Press，2014 年）和《使用 ASP.NET 構(gòu)建新型 Web 應(yīng)用程序》（Microsoft Press，2016 年）的作者。作為 JetBrains 的 .NET 和 Android 平臺(tái)的技術(shù)推廣人員，Esposito 經(jīng)常在全球行業(yè)活動(dòng)中發(fā)表演講，并在 software2cents@wordpress.com 上以及 Twitter @despos 上的推文中分享他對(duì)于軟件的愿景。