覆盖 ASP.NET Core 1.0 MVC 中的全局授权过滤器
Override global authorize filter in ASP.NET Core 1.0 MVC
我正在尝试在 ASP.NET Core 1.0 (MVC 6) 网络应用程序中设置授权。
更严格的方法 - 默认情况下,我想将所有控制器和操作方法限制为具有 Admin 角色的用户。所以,我添加了一个全局授权属性,例如:
AuthorizationPolicy requireAdminRole = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.RequireRole("Admin")
.Build();
services.AddMvc(options => { options.Filters.Add(new AuthorizeFilter(requireAdminRole));});
然后我想允许具有特定角色的用户访问具体的控制器。例如:
[Authorize(Roles="Admin,UserManager")]
public class UserControler : Controller{}
这当然行不通,因为 "global filter" 不允许 UserManager 访问控制器,因为它们不是 "admins"。
在 MVC5 中,我能够通过创建自定义授权属性并将我的逻辑放在那里来实现这一点。然后将此自定义属性用作全局属性。例如:
public class IsAdminOrAuthorizeAttribute : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
ActionDescriptor action = filterContext.ActionDescriptor;
if (action.IsDefined(typeof(AuthorizeAttribute), true) ||
action.ControllerDescriptor.IsDefined(typeof(AuthorizeAttribute), true))
{
return;
}
base.OnAuthorization(filterContext);
}
}
我尝试创建自定义 AuthorizeFilter,但没有成功。 API好像不一样
所以我的问题是:是否可以设置默认策略,然后针对特定的控制器和操作覆盖它。或者类似的东西。
我不想接受这个
[Authorize(Roles="Admin,[OtherRoles]")]
在每个 controller/action 上,因为这是一个潜在的安全问题。如果我不小心忘记了 Admin 角色会怎样。
您需要稍微尝试一下该框架,因为您的全局策略比您想要应用于特定控制器和操作的策略更具限制性:
- 默认情况下只有 Admin 用户可以访问您的应用程序
- 特定角色也将被授予访问某些控制器的权限(例如 UserManagers 访问
UsersController)
您已经注意到,拥有全局过滤器意味着只有 Admin 用户才能访问控制器。当您在 UsersController 上添加附加属性时,只有 both Admin and[=78= 的用户] UserManager 将具有访问权限。
可以使用与 MVC 5 类似的方法,但它的工作方式不同。
- 在 MVC 6 中,
[Authorize] 属性不包含授权逻辑。
- 相反,
AuthorizeFilter 是具有 OnAuthorizeAsync 方法调用授权服务以确保满足策略的方法。
- 一个特定的
IApplicationModelProvider 用于为每个具有 [Authorize] 属性的控制器和动作添加一个 AuthorizeFilter。
一个选项可能是重新创建您的 IsAdminOrAuthorizeAttribute,但这次是 AuthorizeFilter,然后您将添加为全局过滤器:
public class IsAdminOrAuthorizeFilter : AuthorizeFilter
{
public IsAdminOrAuthorizeFilter(AuthorizationPolicy policy): base(policy)
{
}
public override Task OnAuthorizationAsync(Microsoft.AspNetCore.Mvc.Filters.AuthorizationFilterContext context)
{
// If there is another authorize filter, do nothing
if (context.Filters.Any(item => item is IAsyncAuthorizationFilter && item != this))
{
return Task.FromResult(0);
}
//Otherwise apply this policy
return base.OnAuthorizationAsync(context);
}
}
services.AddMvc(opts =>
{
opts.Filters.Add(new IsAdminOrAuthorizeFilter(new AuthorizationPolicyBuilder().RequireRole("admin").Build()));
});
只有当 controller/action 没有特定的 [Authorize] 属性时,这才会应用您的全局过滤器。
您还可以通过将自己注入到生成要应用于每个控制器和操作的过滤器的过程中来避免使用全局过滤器。您可以添加自己的 IApplicationModelProvider 或自己的 IApplicationModelConvention。两者都会让您 add/remove 特定的控制器和操作过滤器。
例如,您可以定义默认授权策略和额外的特定策略:
services.AddAuthorization(opts =>
{
opts.DefaultPolicy = new AuthorizationPolicyBuilder().RequireAuthenticatedUser().RequireRole("admin").Build();
opts.AddPolicy("Users", policy => policy.RequireAuthenticatedUser().RequireRole("admin", "users"));
});
然后您可以创建一个新的 IApplicatioModelProvider,它将默认策略添加到每个没有自己的 [Authorize] 属性的控制器(应用程序约定将非常相似,并且可能更一致框架打算扩展的方式。我只是快速使用现有的 AuthorizationApplicationModelProvider 作为指南):
public class OverridableDefaultAuthorizationApplicationModelProvider : IApplicationModelProvider
{
private readonly AuthorizationOptions _authorizationOptions;
public OverridableDefaultAuthorizationApplicationModelProvider(IOptions<AuthorizationOptions> authorizationOptionsAccessor)
{
_authorizationOptions = authorizationOptionsAccessor.Value;
}
public int Order
{
//It will be executed after AuthorizationApplicationModelProvider, which has order -990
get { return 0; }
}
public void OnProvidersExecuted(ApplicationModelProviderContext context)
{
foreach (var controllerModel in context.Result.Controllers)
{
if (controllerModel.Filters.OfType<IAsyncAuthorizationFilter>().FirstOrDefault() == null)
{
//default policy only used when there is no authorize filter in the controller
controllerModel.Filters.Add(new AuthorizeFilter(_authorizationOptions.DefaultPolicy));
}
}
}
public void OnProvidersExecuting(ApplicationModelProviderContext context)
{
//empty
}
}
//Register in Startup.ConfigureServices
services.TryAddEnumerable(
ServiceDescriptor.Transient<IApplicationModelProvider, OverridableDefaultAuthorizationApplicationModelProvider>());
有了这个,默认策略将在这两个控制器上使用:
public class FooController : Controller
[Authorize]
public class BarController : Controller
此处将使用特定的用户策略:
[Authorize(Policy = "Users")]
public class UsersController : Controller
请注意,您仍然需要为每个策略添加管理员角色,但至少您的所有策略都将在一个启动方法中声明。您可能会创建自己的方法来构建将始终添加管理员角色的策略。
使用@Daniel 的解决方案我 运行 解决了@TarkaDaal 在评论中提到的同一问题(每个调用的上下文中有 2 AuthorizeFilter ......不太确定他们来自哪里来自).
所以我的解决方法如下:
public class IsAdminOrAuthorizeFilter : AuthorizeFilter
{
public IsAdminOrAuthorizeFilter(AuthorizationPolicy policy): base(policy)
{
}
public override Task OnAuthorizationAsync(Microsoft.AspNet.Mvc.Filters.AuthorizationContext context)
{
if (context.Filters.Any(f =>
{
var filter = f as AuthorizeFilter;
//There's 2 default Authorize filter in the context for some reason...so we need to filter out the empty ones
return filter?.AuthorizeData != null && filter.AuthorizeData.Any() && f != this;
}))
{
return Task.FromResult(0);
}
//Otherwise apply this policy
return base.OnAuthorizationAsync(context);
}
}
services.AddMvc(opts =>
{
opts.Filters.Add(new IsAdminOrAuthorizeFilter(new AuthorizationPolicyBuilder().RequireRole("admin").Build()));
});
这很丑陋,但它在这种情况下有效,因为如果您只使用没有参数的 Authorize 属性,您无论如何都会被 new AuthorizationPolicyBuilder().RequireRole("admin").Build() 过滤器处理。
我正在尝试在 ASP.NET Core 1.0 (MVC 6) 网络应用程序中设置授权。
更严格的方法 - 默认情况下,我想将所有控制器和操作方法限制为具有 Admin 角色的用户。所以,我添加了一个全局授权属性,例如:
AuthorizationPolicy requireAdminRole = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.RequireRole("Admin")
.Build();
services.AddMvc(options => { options.Filters.Add(new AuthorizeFilter(requireAdminRole));});
然后我想允许具有特定角色的用户访问具体的控制器。例如:
[Authorize(Roles="Admin,UserManager")]
public class UserControler : Controller{}
这当然行不通,因为 "global filter" 不允许 UserManager 访问控制器,因为它们不是 "admins"。
在 MVC5 中,我能够通过创建自定义授权属性并将我的逻辑放在那里来实现这一点。然后将此自定义属性用作全局属性。例如:
public class IsAdminOrAuthorizeAttribute : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
ActionDescriptor action = filterContext.ActionDescriptor;
if (action.IsDefined(typeof(AuthorizeAttribute), true) ||
action.ControllerDescriptor.IsDefined(typeof(AuthorizeAttribute), true))
{
return;
}
base.OnAuthorization(filterContext);
}
}
我尝试创建自定义 AuthorizeFilter,但没有成功。 API好像不一样
所以我的问题是:是否可以设置默认策略,然后针对特定的控制器和操作覆盖它。或者类似的东西。 我不想接受这个
[Authorize(Roles="Admin,[OtherRoles]")]
在每个 controller/action 上,因为这是一个潜在的安全问题。如果我不小心忘记了 Admin 角色会怎样。
您需要稍微尝试一下该框架,因为您的全局策略比您想要应用于特定控制器和操作的策略更具限制性:
- 默认情况下只有 Admin 用户可以访问您的应用程序
- 特定角色也将被授予访问某些控制器的权限(例如 UserManagers 访问
UsersController)
您已经注意到,拥有全局过滤器意味着只有 Admin 用户才能访问控制器。当您在 UsersController 上添加附加属性时,只有 both Admin and[=78= 的用户] UserManager 将具有访问权限。
可以使用与 MVC 5 类似的方法,但它的工作方式不同。
- 在 MVC 6 中,
[Authorize]属性不包含授权逻辑。 - 相反,
AuthorizeFilter是具有OnAuthorizeAsync方法调用授权服务以确保满足策略的方法。 - 一个特定的
IApplicationModelProvider用于为每个具有[Authorize]属性的控制器和动作添加一个AuthorizeFilter。
一个选项可能是重新创建您的 IsAdminOrAuthorizeAttribute,但这次是 AuthorizeFilter,然后您将添加为全局过滤器:
public class IsAdminOrAuthorizeFilter : AuthorizeFilter
{
public IsAdminOrAuthorizeFilter(AuthorizationPolicy policy): base(policy)
{
}
public override Task OnAuthorizationAsync(Microsoft.AspNetCore.Mvc.Filters.AuthorizationFilterContext context)
{
// If there is another authorize filter, do nothing
if (context.Filters.Any(item => item is IAsyncAuthorizationFilter && item != this))
{
return Task.FromResult(0);
}
//Otherwise apply this policy
return base.OnAuthorizationAsync(context);
}
}
services.AddMvc(opts =>
{
opts.Filters.Add(new IsAdminOrAuthorizeFilter(new AuthorizationPolicyBuilder().RequireRole("admin").Build()));
});
只有当 controller/action 没有特定的 [Authorize] 属性时,这才会应用您的全局过滤器。
您还可以通过将自己注入到生成要应用于每个控制器和操作的过滤器的过程中来避免使用全局过滤器。您可以添加自己的 IApplicationModelProvider 或自己的 IApplicationModelConvention。两者都会让您 add/remove 特定的控制器和操作过滤器。
例如,您可以定义默认授权策略和额外的特定策略:
services.AddAuthorization(opts =>
{
opts.DefaultPolicy = new AuthorizationPolicyBuilder().RequireAuthenticatedUser().RequireRole("admin").Build();
opts.AddPolicy("Users", policy => policy.RequireAuthenticatedUser().RequireRole("admin", "users"));
});
然后您可以创建一个新的 IApplicatioModelProvider,它将默认策略添加到每个没有自己的 [Authorize] 属性的控制器(应用程序约定将非常相似,并且可能更一致框架打算扩展的方式。我只是快速使用现有的 AuthorizationApplicationModelProvider 作为指南):
public class OverridableDefaultAuthorizationApplicationModelProvider : IApplicationModelProvider
{
private readonly AuthorizationOptions _authorizationOptions;
public OverridableDefaultAuthorizationApplicationModelProvider(IOptions<AuthorizationOptions> authorizationOptionsAccessor)
{
_authorizationOptions = authorizationOptionsAccessor.Value;
}
public int Order
{
//It will be executed after AuthorizationApplicationModelProvider, which has order -990
get { return 0; }
}
public void OnProvidersExecuted(ApplicationModelProviderContext context)
{
foreach (var controllerModel in context.Result.Controllers)
{
if (controllerModel.Filters.OfType<IAsyncAuthorizationFilter>().FirstOrDefault() == null)
{
//default policy only used when there is no authorize filter in the controller
controllerModel.Filters.Add(new AuthorizeFilter(_authorizationOptions.DefaultPolicy));
}
}
}
public void OnProvidersExecuting(ApplicationModelProviderContext context)
{
//empty
}
}
//Register in Startup.ConfigureServices
services.TryAddEnumerable(
ServiceDescriptor.Transient<IApplicationModelProvider, OverridableDefaultAuthorizationApplicationModelProvider>());
有了这个,默认策略将在这两个控制器上使用:
public class FooController : Controller
[Authorize]
public class BarController : Controller
此处将使用特定的用户策略:
[Authorize(Policy = "Users")]
public class UsersController : Controller
请注意,您仍然需要为每个策略添加管理员角色,但至少您的所有策略都将在一个启动方法中声明。您可能会创建自己的方法来构建将始终添加管理员角色的策略。
使用@Daniel 的解决方案我 运行 解决了@TarkaDaal 在评论中提到的同一问题(每个调用的上下文中有 2 AuthorizeFilter ......不太确定他们来自哪里来自).
所以我的解决方法如下:
public class IsAdminOrAuthorizeFilter : AuthorizeFilter
{
public IsAdminOrAuthorizeFilter(AuthorizationPolicy policy): base(policy)
{
}
public override Task OnAuthorizationAsync(Microsoft.AspNet.Mvc.Filters.AuthorizationContext context)
{
if (context.Filters.Any(f =>
{
var filter = f as AuthorizeFilter;
//There's 2 default Authorize filter in the context for some reason...so we need to filter out the empty ones
return filter?.AuthorizeData != null && filter.AuthorizeData.Any() && f != this;
}))
{
return Task.FromResult(0);
}
//Otherwise apply this policy
return base.OnAuthorizationAsync(context);
}
}
services.AddMvc(opts =>
{
opts.Filters.Add(new IsAdminOrAuthorizeFilter(new AuthorizationPolicyBuilder().RequireRole("admin").Build()));
});
这很丑陋,但它在这种情况下有效,因为如果您只使用没有参数的 Authorize 属性,您无论如何都会被 new AuthorizationPolicyBuilder().RequireRole("admin").Build() 过滤器处理。