DI в Требование/Политика в ASP.NET MVC 6

Question

Я ищу способ программирования настраиваемого фильтра авторизации в ASP.NET 5, поскольку текущая реализация зависит от Политики/Требования, которые в свою очередь полагаются исключительно на использование Претензий, таким образом, на бесконечной и постоянно меняющейся Системе идентичности, которой я действительно устал (я пробовал все это вкусы).

У меня есть большой набор разрешений (более 200), которые я не хочу кодировать в качестве претензий, поскольку у меня есть свой собственный репозиторий для них и гораздо более быстрый способ проверить его, чем сравнивать сотни строк (это вот какие претензии в конце).

Мне нужно передать параметр в каждом атрибуте, который должен быть проверен против моего пользовательского хранилища разрешений:

[Authorize(Requires = enumPermission.DeleteCustomer)] 

Я знаю, что это не самый частый сценарий, но я думаю, что это не край дело. Я пробовал реализовать его так, как описано @leastprivilege на его великолепном посту «Состояние безопасности в ASP.NET 5 и MVC 6: Авторизация», но я попал на те же стены, что и автор, который даже открыл вопрос о репозитории ASP.NET 5 github, который был закрыт в не слишком ясном пояснении: link

Любая идея о том, как достичь этого? Может быть, использовать другой вид фильтра? В таком случае, как?

Answer 1

Ниже приведен пример того, как можно достичь этого сценария:

Давайте предположим, что у вас есть услуга называется IPermissionStore которая проверяет, является ли данный пользователь имеет необходимые разрешения, указанные в атрибуте.

public class MyCustomAuthorizationFilterAttribute : Attribute, IFilterFactory, IOrderedFilter 
{ 
    private readonly Permision[] _permissions; 

    public MyCustomAuthorizationFilterAttribute(params Permision[] permissions) 
    { 
     _permissions = permissions; 
    } 

    public int Order { get; set; } 

    public IFilterMetadata CreateInstance(IServiceProvider serviceProvider) 
    { 
     var store = serviceProvider.GetRequiredService<IPermissionStore>(); 

     return new MyCustomAuthorizationFilter(store, _permissions) 
     { 
      Order = Order 
     }; 
    } 
} 

public class MyCustomAuthorizationFilter : IAuthorizationFilter, IOrderedFilter 
{ 
    private readonly IPermissionStore _store; 
    private readonly Permision[] _permissions; 

    public int Order { get; set; } 

    public MyCustomAuthorizationFilter(IPermissionStore store, params Permision[] permissions) 
    { 
     _store = store; 
     _permissions = permissions; 
    } 

    public void OnAuthorization(AuthorizationContext context) 
    { 
     // Check if the action has an AllowAnonymous filter 
     if (!HasAllowAnonymous(context)) 
     { 
      var user = context.HttpContext.User; 
      var userIsAnonymous = 
       user == null || 
       user.Identity == null || 
       !user.Identity.IsAuthenticated; 

      if (userIsAnonymous) 
      { 
       Fail(context); 
      } 
      else 
      { 
       // check the store for permissions for the current user 
      } 
     } 
    } 

    private bool HasAllowAnonymous(AuthorizationContext context) 
    { 
     return context.Filters.Any(item => item is Microsoft.AspNet.Authorization.IAllowAnonymous); 
    } 

    private void Fail(AuthorizationContext context) 
    { 
     context.Result = new HttpUnauthorizedResult(); 
    } 
} 

// Your action 
[HttpGet] 
[MyCustomAuthorizationFilter(Permision.CreateCustomer)] 
public IEnumerable<string> Get() 
{ 
    //blah 
}