首页 文章 精选 留言 我的

【NET CORE微服务一条龙应用】第三章 认证授权与动态权限配置

2019-02-25 555

【NET CORE微服务一条龙应用】第三章 认证授权与动态权限配置

介绍

系列目录:【NET CORE微服务一条龙应用】开始篇与目录

在微服务的应用中,统一的认证授权是必不可少的组件,本文将介绍微服务中网关和子服务如何使用统一的权限认证

主要介绍内容为:

1、子服务如何实现和网关相同的鉴权方式

2、接口权限如何动态配置与修改

3、前后端分离模式下通用的后台管理系统(用户、权限、菜单、平台)

需提前了解知识点:

1、Jwt (JSON Web Token)

2、ClaimsPrincipal

3、Microsoft.AspNetCore.Authorization、AuthorizationPolicy、AuthorizationHandler

子服务和网关鉴权方式

首先我们需要了解一下Ocelot网关权限的使用方式,直接上代码

配置

"AuthenticationOptions": {
    "AuthenticationProviderKey": "TestKey",
    "AllowedScopes": ["admin","user"]
}

认证

复制代码 
 var result = await context.HttpContext.AuthenticateAsync(context.DownstreamReRoute.AuthenticationOptions.AuthenticationProviderKey);
 context.HttpContext.User = result.Principal;
 if (context.HttpContext.User.Identity.IsAuthenticated)
 {await _next.Invoke(context);
 }
复制代码

权限验证

var authorised = _scopesAuthoriser.Authorise(context.HttpContext.User, context.DownstreamReRoute.AuthenticationOptions.AllowedScopes);

从以前的代码我们可以看出认证授权的逻辑

1、HttpContext.AuthenticateAsync来进行认证验证,即验证Jwt token的有效可用性,其中AuthenticationProviderKey为身份验证提供程序标识,例如

public void ConfigureServices(IServiceCollection services) { var authenticationProviderKey = "TestKey"; services.AddAuthentication().AddJwtBearer(authenticationProviderKey, x => { }); }

2、当1验证通过后,我们可以通过context.HttpContext.User获取key为scope的Claim数组信息(所以token生成要带上此参数),然后与配置的AllowedScopes的数组进行交集验证,当交集大于0时即为有权限访问

所以子服务如果需要实现和网关相同的权限验证就需要实现以上的方式,用过net core默认的权限认证时会发现,权限的验证都需要体现设定好接口的可访问角色等参数,这不符合我们的需求所以我们需要实现一个自定义的权限认证AuthorizationHandler,直接上代码:

  View Code

其中_permissionAuthoriser.Authorise为权限验证方法,继续往下看实现逻辑

复制代码 
 1  public class ScopesAuthoriser : IPermissionAuthoriser
 2     {
 3         private readonly IPermissionRepository _permissionRepository;
 4         private readonly IClaimsParser _claimsParser;
 5         private readonly string _scope = "scope";
 6         private bool _loaded = false;
 7         public ScopesAuthoriser(IPermissionRepository permissionRepository, IClaimsParser claimsParser)
 8         {
 9             _permissionRepository = permissionRepository;
10             _claimsParser = claimsParser;
11         }
12 
13         public bool Authorise(HttpContext httpContext)
14         {
15             if (!_loaded && _permissionRepository.Permissions.Count == 0)
16                 _permissionRepository.Get();
17             _loaded = true;
18 
19             var permission = _permissionRepository.Permissions
20                 .FirstOrDefault(it => string.Equals(it.Path, httpContext.Request.Path, StringComparison.CurrentCultureIgnoreCase) && it.Method == httpContext.Request.Method);
21 
22             if (permission == null)
23                 return true;
24 
25             var values = _claimsParser.GetValuesByClaimType(httpContext.User.Claims, _scope);
26 
27             var matchesScopes = permission.Scope.Intersect(values).ToList();
28 
29             if (matchesScopes.Count == 0)
30                 return false;
31 
32             return true;
33         }
34     }
复制代码

其中_permissionRepository.Permissions是应用的接口列表与接口对应的可访问scope;权限仓储下面进行介绍

接口权限如何动态配置与修改

认证授权数据库设计,tb_api_resources Api资源表、tb_roles 角色表、tb_role_apis 角色Api资源关系表、tb_users 用户表、tb_user_roles 用户角色表

常规验证权限方式,是根据用户的id查询用户角色,然后验证角色是否拥有接口权限;而在网关中是反过来该接口有哪些角色可以访问;

所以我们需要初始化出应用接口对应所需角色,目前我们实现了mysql版本的权限仓储IPermissionRepository的数据查询,代码如下

 

复制代码 
 1 public class MySqlPermissionRepository : IPermissionRepository
 2     {
 3         private readonly string _dbConnectionString;
 4         private readonly string _projectName;
 5 
 6         public MySqlPermissionRepository(string dbConnectionString, string projectName)
 7         {
 8             _dbConnectionString = dbConnectionString;
 9             _projectName = projectName;
10         }
11         public List<Permission> Permissions { get; private set; } = new List<Permission>();
12         public async Task Get()
13         {
14             using (var dbContext = new MySqlConnection(_dbConnectionString))
15             {
16                 // 平台下所有需要认证Scope的接口
17                 var apiList = await dbContext.QueryAsync<ApiInfo>(@"SELECT api.Url,api.Method,roleapi.RoleId
18                                                                     FROM tb_api_resources AS api 
19                                                                     LEFT JOIN tb_role_apis AS roleapi ON api.Id = roleapi.ApiId
20                                                                     WHERE AllowScope = 2 AND ProjectName = @ProjectName", new { ProjectName = _projectName });
21                 // 所有角色
22                 var roleList = await dbContext.QueryAsync<RoleInfo>(@"SELECT Id, `Key` from tb_roles WHERE IsDel=0", new { ProjectName = _projectName });
23                 if (apiList.Any())
24                 {
25                     var permission = new List<Permission>();
26                     var apiUrlList = apiList.GroupBy(it => it.Url).Select(it => it.FirstOrDefault()).ToList();
27                     apiUrlList.ForEach(api =>
28                     {
29                         var apiMethodList = apiList.Where(it => it.Url == api.Url).GroupBy(it => it.Method).Select(it => it.FirstOrDefault()).ToList();
30                         apiMethodList.ForEach(method =>
31                         {
32                             var apiInfo = apiList.Where(it => it.Url == api.Url && it.Method == method.Method).FirstOrDefault();
33                             var roleids = apiList.Where(it => it.Url == api.Url && it.Method == method.Method).Select(it => it.RoleId).ToArray();
34                             var scopes = roleList.Where(it => roleids.Contains(it.Id)).Select(it => it.Key).ToList();
35                             permission.Add(new Permission
36                             {
37                                 Path = apiInfo.Url,
38                                 Method = apiInfo.Method,
39                                 Scope = scopes
40                             });
41                         });
42                     });
43                     if (permission.Count > 0)
44                         Permissions = permission;
45                 }
46             }
47         }
48     }
复制代码

这里只会实现一次查询,如果中间有接口权限进行了修改,那么如何进行更新呢,在上一篇配置中间使用中,我们介绍了如何使用组件的定时任务和组件的监听方式,所以我们只需做对应扩展即可,定时代码就不贴了,监听代码如下:

复制代码 
 1 public class BucketAuthorizeListener : IBucketListener
 2     {
 3         private readonly IPermissionRepository _permissionRepository;
 4 
 5         public BucketAuthorizeListener(IPermissionRepository permissionRepository)
 6         {
 7             _permissionRepository = permissionRepository;
 8         }
 9 
10         public string ListenerName => "Bucket.Authorize";
11 
12         public async Task ExecuteAsync(string commandText)
13         {
14             if (!string.IsNullOrWhiteSpace(commandText) && commandText == NetworkCommandType.Reload.ToString())
15                 await _permissionRepository.Get();
16         }
17     }
复制代码

下面贴一下Bucket.Authorize如何使用代码

复制代码 
1         public void ConfigureServices(IServiceCollection services)
2         {
3             // 添加授权
4             services.AddApiJwtAuthorize(Configuration);
5             // 添加授权认证
6             services.AddApiJwtAuthorize(Configuration).UseAuthoriser(services, builder => { builder.UseMySqlAuthorize(); });
7         }
复制代码

然后在需要认证授权的action或者controller加上[Authorize("permission")]属性,appsetting配置如下,也可移至配置中心

  View Code

前后端分离模式下通用的后台管理系统

在FamilyBucket-UI中我们可以对项目的接口权限认证方式、用户、用户角色、角色、角色权限、角色菜单等等进行配置,

同时FamilyBucket-UI还具有通用管理系统的基础模块,里面增加一个管理平台的概念,可以直接多个管理平台使用同一个用户体系

本章就不做介绍了,内容有点长,下次再做详细介绍,在多平台同时管理时项目还需要进行一些升级,截图如下

本章涉及源码均可在github中进行查看

https://github.com/q315523275/FamilyBucket

https://github.com/q315523275/FamilyBucket-UI 

原文地址https://www.cnblogs.com/tianxiangzhe/p/10419334.html

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://yq.aliyun.com/articles/691474

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

基于实时计算(Flink)的商场实时客流分析系统——上海鸥新

案例与解决方案汇总页:阿里云实时计算产品案例&解决方案汇总 本文为通过案例为您介绍如何使用实时计算完成客流分析系统。 客户简介 上海鸥新软件有限公司专注于室内定位技术和客流统计与分析的研发,如室内定位引擎、客流统计与分析系统。在用户导入客流系统的同时,为商业零售实体店提供了覆盖,微信上网,定时定地点向客户进行精准化商业信息推送等一体化解决方案。 产品简介 实时客流分析产品主要是基于Wi-Fi的客流统计与分析系统,如下图 实时热力图 通过实时客流分析系统,制作每个楼层的实时热力图,不同颜色代表客流人数的密集程度。 实时客流统计图 实时客流分析产品主要服务于商场运营方,提供的功能包括: 实时客流分析:商场热力图、店铺热力图、客流数、新老客占比、停留时间和客流时间分布等,为运营决策提供数据支持; 精准推送:将Wi-Fi采集到的地址跟现有数据库进行碰
2019-02-26
868
上一篇

.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现

.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现 先决条件 关于 Ocelot 针对使用 .NET 开发微服务架构或者面向服务架构提供一个统一访问系统的组件。参考 本文将使用 Ocelot 构建统一入口的 Gateway。 关于 IdentityServer4 IdentityServer4 是一个 OpenID Connect 和 OAuth 2.0 框架用于ASP.NET Core。IdentityServer4 在你的应用程序中集成了基于令牌认证、单点登录、API访问控制所需的所有协议和扩展点。参考 本文将使用 IdentityServer4 搭建独立认证服务器。 关于 Consul Consul 是一个服务网格解决方案,通过服务发现、配置、功能分割提供一个全功能的控制层。这些功能可以单独使用,也可以同时使用以形成一个完整的网格服务。参考 本文将使用 Consul 注册多个服务。 关于 .Net Core 将使用 WebApi 构建多个服务 构建 IdentityServer 服务 添加 ASP.Net Core Web 项...
2019-02-26
574
下一篇

相关文章

发表评论

资源下载

更多资源
优质分享App

优质分享App

近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

时间: 2025-12-03 大小: 4.36MB 下载: 23次
腾讯云软件源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。

时间: 2025-12-17 大小: 1MB 下载: 2次
Nacos

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

时间: 2025-12-21 大小: 189MB 下载: 2次
Spring

Spring

Spring框架(Spring Framework)是由Rod Johnson于2002年提出的开源Java企业级应用框架,旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念,提供核心容器、应用上下文、数据访问集成等模块,支持整合Hibernate、Struts等第三方框架,其适用范围不仅限于服务器端开发,绝大多数Java应用均可从中受益。

时间: 2025-12-17 大小: 5MB 下载: 1次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
SpringCloud Gemini3 Kubernetes SpringBoot4 Docker OpenAi HarmonyOS6 Jdk25 Redis DeepSeek Rocky Nacos3 Service Mesh

欢迎您!

登录后,您将获得更多功能!

热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273