在具有身份的 Blazor WebAssembly 中使用授权角色和策略?

Use Authorization Roles and Policies in Blazor WebAssembly with Identity?

我正在使用一个 Blazor WebAssembly 3.2-preview3 应用程序,它使用 Identity 创建了以下 3 个项目:

App.Client
App.Server
App.Shared

我的 IdentityUser 实现称为 AppUser,我的 ApiAuthorizationDbContext 实现称为 AppDb

我有一个名为 Admin 的角色已分配给管理员,还有一个名为 RequireAdmin 的策略用于检查 Admin 角色。但是,当我尝试在 App.Client 中使用 AuthorizeView 并与管理员一起查看页面时,它没有显示 link.

<AuthorizeView Policy="RequireAdmin">
    <Authorized>
        <a class="nav-link" href="admin">Admin</a>
    </Authorized>
</AuthorizeView>

如何在我的 Blazor WebAssembly 应用程序中启用角色和策略?

1.在 App.Shared

中创建角色和策略

Microsoft.AspNetCore.Authorization 包添加到 App.Shared 项目

App.Shared 项目中添加以下 2 类 以定义客户端和服务器将使用的角色和策略。

Shared/RoleTypes.cs

namespace App.Shared
{
    public static class RoleTypes
    {
        public const string Admin = "Admin";
    }
}

Shared/PolicyTypes.cs

using Microsoft.AspNetCore.Authorization;

namespace App.Shared
{
    public static class PolicyTypes
    {
        public const string RequireAdmin = "RequireAdmin";

        public static AuthorizationOptions AddAppPolicies(this AuthorizationOptions options)
        {
            options.AddPolicy(RequireAdmin, policy =>
                policy.RequireRole(RoleTypes.Admin));
            return options;
        }
    }
}

2。在App.Server

配置服务

修改 App.Server 项目中的 Startup.cs 文件,通过调用刚刚在 App.Shared 中定义的扩展方法来添加您的策略。

同时修改它以在 openid 范围内包含 role 声明。

Server/Startup.cs

using App.Shared;
...

namespace App.Server
{
    public class Startup
    {

        ...

        public void ConfigureServices(IServiceCollection services)
        {
            ...

            services.AddDefaultIdentity<AppUser>(options =>
                {
                    options.SignIn.RequireConfirmedAccount = true;
                })
                .AddRoles<IdentityRole>()
                .AddEntityFrameworkStores<AppDb>();

            services.AddIdentityServer()
                .AddApiAuthorization<AppUser, AppDb>(options =>
                {
                    // https://github.com/dotnet/AspNetCore.Docs/issues/17649
                    options.IdentityResources["openid"].UserClaims.Add("role");
                    options.ApiResources.Single().UserClaims.Add("role");
                });
            // Need to do this as it maps "role" to ClaimTypes.Role and causes issues
            JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Remove("role");

            services.AddAuthentication()
                .AddIdentityServerJwt();

            services.AddAuthorization(options => options.AddAppPolicies());

            ...
        }

        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            ...

            app.UseAuthentication();
            app.UseAuthorization();
            app.UseIdentityServer();

            ...
        }
    }
}

3。在 App.Client

配置服务

修改 App.Client 项目中的 Program.cs 文件,通过调用刚刚在 App.Shared 中定义的扩展方法来添加您的策略。同时修改 AddApiAuthorization 以配置 role 声明。

Client/Program.cs

using App.Client.Services;
using App.Shared;
...

namespace App.Client
{
    public class Program
    {
        public static async Task Main(string[] args)
        {
            ...

            builder.Services.AddAuthorizationCore(options => options.AddAppPolicies());
            // 2 calls to AddApiAuthorization are necessary in 3.2-preview3
            // should be fixed in 3.2-preview4
            // https://github.com/dotnet/aspnetcore/issues/19854
            // https://github.com/dotnet/AspNetCore.Docs/issues/17649#issuecomment-612442543
            builder.Services.AddApiAuthorization();
            builder.Services.AddApiAuthorization(options =>
            {
                options.UserOptions.RoleClaim = "role";
            });

            ...
        }
    }
}