【ASP.NET Core 基础知识】–身份验证和授权–授权和策略

一、授权和策略的概念及应用

在ASP.NET Core中，授权和策略是重要的安全概念，用于确定用户是否有权限执行特定的操作或访问特定的资源。以下是关于ASP.NET Core中授权和策略的概念及其应用的一些重要信息：

1.1 授权（Authorization）的概念

授权是指确定用户是否有权利执行某项操作或访问某些资源。在ASP.NET Core中，授权通常涉及到定义一组规则，这些规则描述了谁有权访问应用程序的特定部分或资源。

1.2 策略（Policy）的概念

策略是一组授权规则的集合，用于定义对应用程序中的不同部分或资源的访问规则。通过使用策略，你可以将授权规则组织成可复用的、具有名称的集合，从而提高代码的可维护性。

1.3 ASP.NET Core中的授权和策略应用

1. 声明授权： 在ASP.NET Core中，可以使用[Authorize]属性来声明需要授权的控制器或操作方法。例如：

   [Authorize]
   public IActionResult SecureAction()
   {
       // 受保护的代码
   }
   

2. 基于角色的授权： 你可以使用[Authorize(Roles = "Admin")]来限制只有特定角色的用户才能访问某个资源。

   [Authorize(Roles = "Admin")]
   public IActionResult AdminAction()
   {
       // 只有管理员可以访问的代码
   }
   

3. 基于声明的授权： 基于用户的个别声明，可以使用[Authorize(Policy = "MinimumAge")]。

   [Authorize(Policy = "MinimumAge")]
   public IActionResult AdultAction()
   {
       // 只有满足最低年龄要求的用户可以访问的代码
   }
   

4. 自定义策略： 你可以定义自己的策略，将其注册到应用程序中，并在控制器或操作方法上使用。例如，定义一个要求用户年龄必须大于等于18岁的策略：

   services.AddAuthorization(options =>
   {
       options.AddPolicy("MinimumAge", policy =>
       {
           policy.RequireClaim("Age", "18");
       });
   });
   

5. 自定义授权处理程序： 通过实现IAuthorizationHandler接口，你可以创建自定义的授权处理程序，以执行更复杂的授权逻辑。

   public class CustomAuthorizationHandler : AuthorizationHandler<CustomRequirement>
   {
       protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomRequirement requirement)
       {
           // 自定义授权逻辑
           if (/* 满足授权条件 */)
           {
               context.Succeed(requirement);
           }
   
           return Task.CompletedTask;
       }
   }
   

6. 授权策略组合： 你可以将多个授权策略组合在一起，以满足更复杂的授权需求。

   [Authorize(Policy = "MinimumAge")]
   [Authorize(Roles = "Admin")]
   public IActionResult ComplexAction()
   {
       // 复杂授权逻辑
   }
   

通过结合使用授权和策略，ASP.NET Core提供了灵活且强大的身份验证和授权机制，使开发人员能够轻松实现对应用程序资源的安全访问控制。

1.4 授权和策略的关系

在ASP.NET Core中，授权和策略是密切相关的概念，它们一起用于定义和实施应用程序的访问控制规则。以下是它们之间的关系：

1. 授权是目标，策略是手段： 授权是一种更广泛的概念，表示确定用户是否有权限执行某项操作或访问某些资源。而策略是一种具体的实施手段，用于定义和管理这些授权规则。
2. 策略是授权规则的集合： 策略是一组授权规则的集合，用于定义对应用程序中不同部分或资源的访问规则。通过使用策略，可以将授权规则组织成可复用、具有名称的集合。
3. 更高层次的抽象： 授权可以是基于角色、声明、自定义规则等不同的维度，而策略则提供了一种更高层次的抽象，允许将这些规则以更灵活的方式组合和管理。
4. 组织和管理权限： 使用策略，可以将复杂的权限逻辑抽象成可维护和可配置的规则集，使其易于管理和修改。这样，应用程序可以根据需要动态地调整和扩展授权规则。
5. 在代码中的应用： 在ASP.NET Core中，你可以通过在控制器或操作方法上使用[Authorize]属性并指定相应的策略名称来应用授权。这样，授权系统将根据策略来验证用户的访问权限。

   [Authorize(Policy = "MinimumAge")]
   public IActionResult AdultAction()
   {
       // 只有满足最低年龄要求的用户可以访问的代码
   }
   

6. 自定义策略处理程序： 通过实现自定义的策略处理程序，你可以定义更复杂的授权逻辑。这些处理程序通过IAuthorizationHandler接口来实现，允许你在运行时执行自定义的授权决策。

授权和策略在ASP.NET Core中协同工作，提供了一种强大的机制，用于实现灵活、可维护且可配置的访问控制。策略为开发人员提供了一种结构化和模块化的方式来定义和管理授权规则，使得应用程序的安全性能得到提升。

二、如何使用策略处理程序强制执行授权要求

2.1 创建策略处理程序

在ASP.NET Core中，创建策略处理程序（Policy Handler）通常涉及实现IAuthorizationHandler接口。以下是一个简单的示例，演示如何创建一个自定义的策略处理程序： 首先，创建一个自定义的策略要求（Requirement）类。这是策略处理程序要处理的规则的抽象表示：

public class CustomRequirement : IAuthorizationRequirement
{
    // 可以在这里定义需要的任何属性或方法
}

接下来，创建一个实现IAuthorizationHandler<CustomRequirement>接口的策略处理程序类：

public class CustomAuthorizationHandler : AuthorizationHandler<CustomRequirement>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomRequirement requirement)
    {
        // 在这里编写自定义的授权逻辑

        if (/* 满足授权条件 */)
        {
            context.Succeed(requirement);
        }

        return Task.CompletedTask;
    }
}

请注意，HandleRequirementAsync方法是必须实现的方法，其中包含自定义的授权逻辑。如果授权条件满足，可以调用context.Succeed(requirement)来表示授权通过。 在Startup.cs中注册策略处理程序：

public void ConfigureServices(IServiceCollection services)
{
    // 其他服务的注册

    // 注册自定义策略处理程序
    services.AddSingleton<IAuthorizationHandler, CustomAuthorizationHandler>();
}

最后，通过使用策略将该处理程序应用到控制器或操作方法上：

[Authorize(Policy = "CustomPolicy")]
public class CustomController : Controller
{
    // 控制器的代码
}

在上述例子中，使用[Authorize(Policy = "CustomPolicy")]将自定义策略应用到控制器。然后，当请求到达该控制器时，系统将调用自定义的策略处理程序执行授权逻辑。

2.2 在应用中使用策略处理程序

在应用中使用前面创建的策略处理程序，需要遵循以下步骤：

1. 定义自定义策略： 在Startup.cs文件的ConfigureServices方法中，注册自定义策略处理程序和策略。例如：

   public void ConfigureServices(IServiceCollection services)
   {
       // 其他服务的注册
   
       // 注册自定义策略处理程序
       services.AddSingleton<IAuthorizationHandler, CustomAuthorizationHandler>();
   
       // 注册策略
       services.AddAuthorization(options =>
       {
           options.AddPolicy("CustomPolicy", policy =>
           {
               policy.Requirements.Add(new CustomRequirement());
           });
       });
   }
   

2. 在控制器或操作方法中使用策略： 在需要进行授权的地方使用[Authorize]属性，并指定先前定义的策略名称。例如：

   [Authorize(Policy = "CustomPolicy")]
   public class CustomController : Controller
   {
       // 控制器的代码
   }
   

3. 自动注入策略处理程序： 如果你的策略处理程序需要依赖注入其他服务，可以在构造函数中将其注入。例如，在CustomAuthorizationHandler中：

   public class CustomAuthorizationHandler : AuthorizationHandler<CustomRequirement>
   {
       private readonly IMyCustomService _customService;
   
       public CustomAuthorizationHandler(IMyCustomService customService)
       {
           _customService = customService;
       }
   
       protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomRequirement requirement)
       {
           // 使用 _customService 进行处理
   
           if (/* 满足授权条件 */)
           {
               context.Succeed(requirement);
           }
   
           return Task.CompletedTask;
       }
   }
   

   其中，IMyCustomService是你的自定义服务接口，通过依赖注入提供给CustomAuthorizationHandler。

通过以上步骤，你的应用程序就可以使用前面创建的策略处理程序来进行授权了。当用户访问带有[Authorize(Policy = "CustomPolicy")]的控制器或操作方法时，ASP.NET Core将自动调用CustomAuthorizationHandler的HandleRequirementAsync方法执行自定义的授权逻辑。

三、如何限制标识为特定身份验证方案

在ASP.NET Core中，你可以通过使用[Authorize]属性或[AllowAnonymous]属性来限制标识为特定身份验证方案。这可以在控制器或操作方法级别进行设置。 以下是一些关于如何限制标识为特定身份验证方案的方法：

1. 使用 [Authorize] 属性

[Authorize(AuthenticationSchemes = "YourScheme")]
public class YourController : Controller
{
    // 控制器的代码
}

上述代码中，AuthenticationSchemes属性被设置为你希望使用的身份验证方案的名称（字符串）。这将确保只有使用指定身份验证方案的用户才能访问该控制器。

2. 使用 [AllowAnonymous] 属性：如果你希望在一个控制器或操作方法中允许匿名访问，但仅限于特定身份验证方案，可以在控制器级别或操作方法级别使用[AllowAnonymous]并配合[Authorize]：

[AllowAnonymous]
[Authorize(AuthenticationSchemes = "YourScheme")]
public class YourController : Controller
{
    // 控制器的代码
}

这样设置后，即使匿名访问是允许的，但仍然只有使用指定身份验证方案的用户才能访问该控制器。

3. 在 Startup.cs 中配置身份验证方案：在Startup.cs文件的ConfigureServices方法中配置身份验证方案：

public void ConfigureServices(IServiceCollection services)
{
    // 其他服务的注册

    services.AddAuthentication("YourScheme")
        .AddYourCustomAuthentication(options =>
        {
            // 配置你的自定义身份验证选项
        });

    // 其他配置...
}

在上述代码中，AddAuthentication方法用于配置身份验证服务，"YourScheme"是你的自定义身份验证方案的名称。随后，你可以在控制器或操作方法上使用[Authorize(AuthenticationSchemes = "YourScheme")]属性。 确保在整个应用程序中使用相同的身份验证方案名称以确保一致性。上述代码中的 “YourScheme” 应该替换为你实际使用的身份验证方案的名称。

四、总结

在ASP.NET Core中，授权和策略是关键的安全概念。授权确定用户是否有权限执行某操作或访问资源，而策略是组织授权规则的集合。通过使用[Authorize]属性，可以将授权规则应用到控制器或操作方法。自定义策略处理程序通过实现IAuthorizationHandler接口提供灵活的授权逻辑。在Startup.cs中，可以注册策略处理程序和定义策略。身份验证方案可以通过[Authorize(AuthenticationSchemes = "YourScheme")]属性或在Startup.cs中配置来限制访问。这样，ASP.NET Core提供了强大而灵活的身份验证和授权机制，用于实现应用程序的安全访问控制。