c# - ASP.NET Core 基于自定义策略的授权 - 不清楚

Question

好的，ASP.NET Core 中基于自定义策略的授权。我有点理解这个新身份框架的想法，但仍然不是 100% 清楚你可以用它实现什么。假设我们在 HomeController 中有一个名为 List 的 Action。此操作将查询并显示数据库中的产品列表。必须访问此列表的用户必须属于营销部门。因此，在我们的政策中，我们检查用户是否有一个名为 Division 的声明，其值是 Marketing。如果是，那么他将被允许查看列表，否则不允许。我们可以这样装饰我们的 Action :

[Authorize(Policy = "ProductsAccess")]
public IActionResult List()  
{
    //do query and return the products view model
    return View();
}

一切都很好。它将完美运行。

场景 1: 如果我想在产品级别添加策略，并且根据该策略，用户将只能看到他所在部门的产品，该怎么办？所以营销人员会看到他的产品，研发人员会看到他的产品等等。我怎样才能做到这一点？可以通过政策来完成吗？如果是怎么办？

场景 2:现场级别的访问情况如何？假设我想隐藏某些字段？示例:所有产品都会有某些列，这些列必须对经理可见而对其他用户隐藏？这可以使用自定义策略来完成吗？如果是怎么办？

Answer 1

对于场景 1，您可以使用 resource based authorization .

本质上，你会注入(inject) IAuthorizationService进入您的服务或 Controller ，然后拥有一个或多个派生形式的授权处理程序 AuthorizationHandler<TRequirement, TDocument>然后调用

if(await _authorizationService.AuthorizeAsync(User, document, "MyPolicy"))
{
    // Success, user has access to it
}

缺点:您必须从数据库中获取所有产品，然后在内存中进行过滤，因此它适用于不需要分页的单个文档或较小的数据。分页会破坏它，即使是在较小的数据上(即，如果您请求 50 种产品，但用户无权访问其中的 40 种，尽管页面大小为 50，但只会返回 10 种)。

EF Core 2.0 可能会提供替代方案(如果您使用 EF Core 作为 ORM)。您可以添加全局过滤器，这将应用于对特定实体的所有查询。

有关详细信息，请参阅 Entity Framework Core 2.0 Announcement博文:

public class BloggingContext : DbContext
{
    public DbSet<Blog> Blogs { get; set; }
    public DbSet<Post> Posts { get; set; }

    public int TenantId {get; set; }

    protected override void OnModelCreating(ModelBuilder modelBuilder)
    {
        modelBuilder.Entity<Post>()
            .HasQueryFilter(p => !p.IsDeleted &&
                  p.TenantId == this.TenantId );
    }
}

它可能适合也可能不适合您的情况，这取决于您是否有可以使用的行级数据(即某种“资源所有者”字段)。

场景 2 据我所知，Identity 不可能开箱即用，您必须自己实现一些东西，但这是一个非常复杂的主题(如果您曾经工作过使用 Dynamics CRM，您明白我的意思)。

更新

为了快速实现，您可以尝试将您的响应包装在 ExpandoObject 周围(这就是当你使用 dynamic 关键字时底层使用的内容)并迭代它，在从 Controller 操作返回它之前删除用户无权访问的属性或编写授权过滤器，这将自动为特定或所有 Controller 。

一个粗略的想法(关于如何构造/使用 expando 对象)，请参阅我的回答 here .