.net中基于资源的授权

假设你有一个带有GetResource(int resourceId)操作的.net web api.此操作(具有指定的ID)应仅对与该ID相关联的用户授权(该资源可能例如是由用户编写的博客文件).

这可以以许多方式解决,但下面给出一个例子.

public Resource GetResource(int id)
    {
        string name = Thread.CurrentPrincipal.Identity.Name;
        var user = userRepository.SingleOrDefault(x => x.UserName == name);
        var resource = resourceRepository.Find(id);

        if (resource.UserId != user.UserId)
        {
            throw new HttpResponseException(HttpStatusCode.Unauthorized);
        }

        return resource;
    }

用户已通过某种机制进行身份验证.

现在,我们也想要一个用户,例如管理类型,被授权使用端点(具有相同的id).该用户与资源没有任何直接关系,但是由于它的类型(或角色)而具有授权.这可以通过检查用户是否具有管理类型并返回资源来解决.

有没有办法集中这个方式,以便我不必在每个动作中编写授权码？

编辑
根据答案,我想我必须澄清我的问题.

我真正的追求是一些机制,使得有可能获得基于资源的授权,但同时允许一些用户也使用相同的端点和相同的资源.下面的操作将为此特定端点和此特定角色(Admin)解决此问题.

public Resource GetResource(int id)
    {
        string name = Thread.CurrentPrincipal.Identity.Name;
        var user = userRepository.SingleOrDefault(x => x.UserName == name);
        var resource = resourceRepository.Find(id);

        if (!user.Roles.Any(x => x.RoleName == "Admin" || resource.UserId != user.UserId)
        {
            throw new HttpResponseException(HttpStatusCode.Unauthorized);
        }

        return resource;
    }

我所追求的是一些通用的方法来解决这个问题,所以我不必用同样的目的编写两个不同的端点,也可以在每个端点写入特定于资源的代码.

解决方法

对于基于资源的授权,我建议使用 claim based identity并嵌入用户ID作为声明.编写一个扩展方法来从身份读取权利要求.所以示例代码将如下所示：

public Resource GetResource(int id)
{
     var resource = resourceRepository.Find(id);
    if (resource.UserId != User.Identity.GetUserId())
    {
        throw new HttpResponseException(HttpStatusCode.Unauthorized);
    }

    return resource;
}

如果要进一步简化代码,可以编写一个用户数据库(UserRepository),该用户资料库知道用户数据和资源存储库以集中代码.代码将如下所示：

public Resource GetResource(int id)
{
    return User.Identity.GetUserRepository().FindResource(id);
}

对于基于角色的授权,AuthorizeAttribute将是处理它的最佳位置,您最好使用单独的操作或控制器.

[Authorize(Roles = "admin")]
public Resource GetResourceByAdmin(int id)
{
    return resourceRepository.Find(id);
}

[编辑]
如果OP想要使用一个单独的操作来处理不同类型的用户,我个人更喜欢使用用户存储库工厂.行动代码将是：

public Resource GetResource(int id)
{
    return User.GetUserRepository().FindResource(id);
}

扩展方法将是：

public static IUserRepository GetUserRepository(this IPrincipal principal)
{
    var resourceRepository = new ResourceRepository();
    bool isAdmin = principal.IsInRole("Admin");
    if (isAdmin)
    {
        return new AdminRespository(resourceRepository);
    }
    else
    {
       return new UserRepository(principal.Identity,resourceRepository);
    }
}

我不想使用AuthorizeAttribute对资源进行身份验证的原因是,不同的资源可能会有不同的代码来检查所有权,所以很难将代码集中在一个属性中,并且需要额外的DB操作,这并不是真的必要的.另一个问题是AuthroizeAttribute发生在参数绑定之前,因此您需要确保操作的参数来自路由数据.否则,例如,从邮件正文中,您将无法获取参数值.

.net中基于资源的授权

解决方法

相关文章