首页 文章 精选 留言 我的

【NET CORE微服务一条龙应用】第三章 认证授权与动态权限配置

2019-02-25 569

【NET CORE微服务一条龙应用】第三章 认证授权与动态权限配置

介绍

系列目录:【NET CORE微服务一条龙应用】开始篇与目录

在微服务的应用中,统一的认证授权是必不可少的组件,本文将介绍微服务中网关和子服务如何使用统一的权限认证

主要介绍内容为:

1、子服务如何实现和网关相同的鉴权方式

2、接口权限如何动态配置与修改

3、前后端分离模式下通用的后台管理系统(用户、权限、菜单、平台)

需提前了解知识点:

1、Jwt (JSON Web Token)

2、ClaimsPrincipal

3、Microsoft.AspNetCore.Authorization、AuthorizationPolicy、AuthorizationHandler

子服务和网关鉴权方式

首先我们需要了解一下Ocelot网关权限的使用方式,直接上代码

配置

"AuthenticationOptions": {
    "AuthenticationProviderKey": "TestKey",
    "AllowedScopes": ["admin","user"]
}

认证

复制代码 
 var result = await context.HttpContext.AuthenticateAsync(context.DownstreamReRoute.AuthenticationOptions.AuthenticationProviderKey);
 context.HttpContext.User = result.Principal;
 if (context.HttpContext.User.Identity.IsAuthenticated)
 {await _next.Invoke(context);
 }
复制代码

权限验证

var authorised = _scopesAuthoriser.Authorise(context.HttpContext.User, context.DownstreamReRoute.AuthenticationOptions.AllowedScopes);

从以前的代码我们可以看出认证授权的逻辑

1、HttpContext.AuthenticateAsync来进行认证验证,即验证Jwt token的有效可用性,其中AuthenticationProviderKey为身份验证提供程序标识,例如

public void ConfigureServices(IServiceCollection services) { var authenticationProviderKey = "TestKey"; services.AddAuthentication().AddJwtBearer(authenticationProviderKey, x => { }); }

2、当1验证通过后,我们可以通过context.HttpContext.User获取key为scope的Claim数组信息(所以token生成要带上此参数),然后与配置的AllowedScopes的数组进行交集验证,当交集大于0时即为有权限访问

所以子服务如果需要实现和网关相同的权限验证就需要实现以上的方式,用过net core默认的权限认证时会发现,权限的验证都需要体现设定好接口的可访问角色等参数,这不符合我们的需求所以我们需要实现一个自定义的权限认证AuthorizationHandler,直接上代码:

  View Code

其中_permissionAuthoriser.Authorise为权限验证方法,继续往下看实现逻辑

复制代码 
 1  public class ScopesAuthoriser : IPermissionAuthoriser
 2     {
 3         private readonly IPermissionRepository _permissionRepository;
 4         private readonly IClaimsParser _claimsParser;
 5         private readonly string _scope = "scope";
 6         private bool _loaded = false;
 7         public ScopesAuthoriser(IPermissionRepository permissionRepository, IClaimsParser claimsParser)
 8         {
 9             _permissionRepository = permissionRepository;
10             _claimsParser = claimsParser;
11         }
12 
13         public bool Authorise(HttpContext httpContext)
14         {
15             if (!_loaded && _permissionRepository.Permissions.Count == 0)
16                 _permissionRepository.Get();
17             _loaded = true;
18 
19             var permission = _permissionRepository.Permissions
20                 .FirstOrDefault(it => string.Equals(it.Path, httpContext.Request.Path, StringComparison.CurrentCultureIgnoreCase) && it.Method == httpContext.Request.Method);
21 
22             if (permission == null)
23                 return true;
24 
25             var values = _claimsParser.GetValuesByClaimType(httpContext.User.Claims, _scope);
26 
27             var matchesScopes = permission.Scope.Intersect(values).ToList();
28 
29             if (matchesScopes.Count == 0)
30                 return false;
31 
32             return true;
33         }
34     }
复制代码

其中_permissionRepository.Permissions是应用的接口列表与接口对应的可访问scope;权限仓储下面进行介绍

接口权限如何动态配置与修改

认证授权数据库设计,tb_api_resources Api资源表、tb_roles 角色表、tb_role_apis 角色Api资源关系表、tb_users 用户表、tb_user_roles 用户角色表

常规验证权限方式,是根据用户的id查询用户角色,然后验证角色是否拥有接口权限;而在网关中是反过来该接口有哪些角色可以访问;

所以我们需要初始化出应用接口对应所需角色,目前我们实现了mysql版本的权限仓储IPermissionRepository的数据查询,代码如下

 

复制代码 
 1 public class MySqlPermissionRepository : IPermissionRepository
 2     {
 3         private readonly string _dbConnectionString;
 4         private readonly string _projectName;
 5 
 6         public MySqlPermissionRepository(string dbConnectionString, string projectName)
 7         {
 8             _dbConnectionString = dbConnectionString;
 9             _projectName = projectName;
10         }
11         public List<Permission> Permissions { get; private set; } = new List<Permission>();
12         public async Task Get()
13         {
14             using (var dbContext = new MySqlConnection(_dbConnectionString))
15             {
16                 // 平台下所有需要认证Scope的接口
17                 var apiList = await dbContext.QueryAsync<ApiInfo>(@"SELECT api.Url,api.Method,roleapi.RoleId
18                                                                     FROM tb_api_resources AS api 
19                                                                     LEFT JOIN tb_role_apis AS roleapi ON api.Id = roleapi.ApiId
20                                                                     WHERE AllowScope = 2 AND ProjectName = @ProjectName", new { ProjectName = _projectName });
21                 // 所有角色
22                 var roleList = await dbContext.QueryAsync<RoleInfo>(@"SELECT Id, `Key` from tb_roles WHERE IsDel=0", new { ProjectName = _projectName });
23                 if (apiList.Any())
24                 {
25                     var permission = new List<Permission>();
26                     var apiUrlList = apiList.GroupBy(it => it.Url).Select(it => it.FirstOrDefault()).ToList();
27                     apiUrlList.ForEach(api =>
28                     {
29                         var apiMethodList = apiList.Where(it => it.Url == api.Url).GroupBy(it => it.Method).Select(it => it.FirstOrDefault()).ToList();
30                         apiMethodList.ForEach(method =>
31                         {
32                             var apiInfo = apiList.Where(it => it.Url == api.Url && it.Method == method.Method).FirstOrDefault();
33                             var roleids = apiList.Where(it => it.Url == api.Url && it.Method == method.Method).Select(it => it.RoleId).ToArray();
34                             var scopes = roleList.Where(it => roleids.Contains(it.Id)).Select(it => it.Key).ToList();
35                             permission.Add(new Permission
36                             {
37                                 Path = apiInfo.Url,
38                                 Method = apiInfo.Method,
39                                 Scope = scopes
40                             });
41                         });
42                     });
43                     if (permission.Count > 0)
44                         Permissions = permission;
45                 }
46             }
47         }
48     }
复制代码

这里只会实现一次查询,如果中间有接口权限进行了修改,那么如何进行更新呢,在上一篇配置中间使用中,我们介绍了如何使用组件的定时任务和组件的监听方式,所以我们只需做对应扩展即可,定时代码就不贴了,监听代码如下:

复制代码 
 1 public class BucketAuthorizeListener : IBucketListener
 2     {
 3         private readonly IPermissionRepository _permissionRepository;
 4 
 5         public BucketAuthorizeListener(IPermissionRepository permissionRepository)
 6         {
 7             _permissionRepository = permissionRepository;
 8         }
 9 
10         public string ListenerName => "Bucket.Authorize";
11 
12         public async Task ExecuteAsync(string commandText)
13         {
14             if (!string.IsNullOrWhiteSpace(commandText) && commandText == NetworkCommandType.Reload.ToString())
15                 await _permissionRepository.Get();
16         }
17     }
复制代码

下面贴一下Bucket.Authorize如何使用代码

复制代码 
1         public void ConfigureServices(IServiceCollection services)
2         {
3             // 添加授权
4             services.AddApiJwtAuthorize(Configuration);
5             // 添加授权认证
6             services.AddApiJwtAuthorize(Configuration).UseAuthoriser(services, builder => { builder.UseMySqlAuthorize(); });
7         }
复制代码

然后在需要认证授权的action或者controller加上[Authorize("permission")]属性,appsetting配置如下,也可移至配置中心

  View Code

前后端分离模式下通用的后台管理系统

在FamilyBucket-UI中我们可以对项目的接口权限认证方式、用户、用户角色、角色、角色权限、角色菜单等等进行配置,

同时FamilyBucket-UI还具有通用管理系统的基础模块,里面增加一个管理平台的概念,可以直接多个管理平台使用同一个用户体系

本章就不做介绍了,内容有点长,下次再做详细介绍,在多平台同时管理时项目还需要进行一些升级,截图如下

本章涉及源码均可在github中进行查看

https://github.com/q315523275/FamilyBucket

https://github.com/q315523275/FamilyBucket-UI 

原文地址https://www.cnblogs.com/tianxiangzhe/p/10419334.html

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://yq.aliyun.com/articles/691474

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

基于实时计算(Flink)的商场实时客流分析系统——上海鸥新

案例与解决方案汇总页:阿里云实时计算产品案例&解决方案汇总 本文为通过案例为您介绍如何使用实时计算完成客流分析系统。 客户简介 上海鸥新软件有限公司专注于室内定位技术和客流统计与分析的研发,如室内定位引擎、客流统计与分析系统。在用户导入客流系统的同时,为商业零售实体店提供了覆盖,微信上网,定时定地点向客户进行精准化商业信息推送等一体化解决方案。 产品简介 实时客流分析产品主要是基于Wi-Fi的客流统计与分析系统,如下图 实时热力图 通过实时客流分析系统,制作每个楼层的实时热力图,不同颜色代表客流人数的密集程度。 实时客流统计图 实时客流分析产品主要服务于商场运营方,提供的功能包括: 实时客流分析:商场热力图、店铺热力图、客流数、新老客占比、停留时间和客流时间分布等,为运营决策提供数据支持; 精准推送:将Wi-Fi采集到的地址跟现有数据库进行碰
2019-02-26
882
上一篇

.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现

.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现 先决条件 关于 Ocelot 针对使用 .NET 开发微服务架构或者面向服务架构提供一个统一访问系统的组件。参考 本文将使用 Ocelot 构建统一入口的 Gateway。 关于 IdentityServer4 IdentityServer4 是一个 OpenID Connect 和 OAuth 2.0 框架用于ASP.NET Core。IdentityServer4 在你的应用程序中集成了基于令牌认证、单点登录、API访问控制所需的所有协议和扩展点。参考 本文将使用 IdentityServer4 搭建独立认证服务器。 关于 Consul Consul 是一个服务网格解决方案,通过服务发现、配置、功能分割提供一个全功能的控制层。这些功能可以单独使用,也可以同时使用以形成一个完整的网格服务。参考 本文将使用 Consul 注册多个服务。 关于 .Net Core 将使用 WebApi 构建多个服务 构建 IdentityServer 服务 添加 ASP.Net Core Web 项...
2019-02-26
589
下一篇

相关文章

发表评论

资源下载

更多资源
优质分享App

优质分享App

近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

时间: 2025-12-03 大小: 4.36MB 下载: 23次
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

时间: 2025-12-12 大小: 211.28KB 下载: 54次
Rocky Linux

Rocky Linux

Rocky Linux(中文名:洛基)是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版,作为CentOS稳定版停止维护后与RHEL(Red Hat Enterprise Linux)完全兼容的开源替代方案,由社区拥有并管理,支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性,采用模块化包装和SELinux安全架构,默认包含GNOME桌面环境及XFS文件系统,支持十年生命周期更新。

时间: 2026-01-03 大小: 1.42GB 下载: 2次
Sublime Text

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能,例如代码缩略图,Python的插件,代码段等。还可自定义键绑定,菜单和工具栏。Sublime Text 的主要功能包括:拼写检查,书签,完整的 Python API , Goto 功能,即时项目切换,多选择,多窗口等等。Sublime Text 是一个跨平台的编辑器,同时支持Windows、Linux、Mac OS X等操作系统。

时间: 2025-12-03 大小: 9.84MB 下载: 39次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
SpringCloud Rocky SpringBoot4 Redis Nacos3 DeepSeek Jdk25 Kubernetes OpenAi HarmonyOS6 Service Mesh Gemini3 Docker

欢迎您来访!

登录后,您将获得更多功能!
热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273

用户登录
用户注册