本文共 5448 字,大约阅读时间需要 18 分钟。
哈喽大家好,这篇文章其实很早就想写了,因为一直会有小伙伴问到,但是我却始终拿不到好的方案,最近在录制《》的视频,碰巧就看到了微软官方的代码中也有这方面的需求,而且和我的需求不谋而合,那我就抄一下吧,当然要适当的做些修改,可见还是要多学习一些框架的。
预告,从这周开始,BCVP开发者组正式推广,因为我先写了这篇文章,所以我会在本周三的时候推广第一个项目,感兴趣的还是要来哟《》。
先说下问题吧:
我们平时在开发ASP.NETCore的WebApi的时候,肯定会有权限相关的内容,特别是在开发的阶段,需要用到联合调试,或者就是模拟测试,那要获取真实的数据,就需要去登录,我们虽然有Swagger界面为我们省去了打开前端项目的麻烦,但是Swagger也有自身的一些问题:
1、比如登录,我们需要设置时间,万一半个小时有效期内没有成功,我们还得退出并重新登录一次;
2、Swagger采用的是Js赋值,那我们刷新了以后,这个Token就不见了,我们又得重新点击登录,然后输入到窗口内;
3、特别是在调试Ids4项目的时候,还需要把Ids4认证平台的项目也打开,一起运行,才能实现效果。
可以看到为了简单的调试一个业务的接口,还是很麻烦的,那我想着有没有一个方案,可以一次配置,长久有效呢?
肯定是有的,而且很简单,只需要简单的设计一个中间件,就能轻松搞定,来吧,内容很简单,我就不多解释了,直接1234上步骤。
1、设计权限通过中间件
这个内容还是比较清晰的,我先直接写下代码:
////// 测试用户,用来通过鉴权 /// JWT:?userid=8&rolename=AdminTest /// public class ByPassAuthMidd { private readonly RequestDelegate _next; // 定义变量:当前用户Id,会常驻内存。 private string _currentUserId; // 同理定义:当前角色名 private string _currentRoleName; public ByPassAuthMidd(RequestDelegate next) { _next = next; _currentUserId = null; _currentRoleName = null; } public async Task Invoke(HttpContext context) { var path = context.Request.Path; // 请求地址,通过Url参数的形式,设置用户id和rolename if (path == "/noauth") { var userid = context.Request.Query["userid"]; if (!string.IsNullOrEmpty(userid)) { _currentUserId = userid; } var rolename = context.Request.Query["rolename"]; if (!string.IsNullOrEmpty(rolename)) { _currentRoleName = rolename; } await SendOkResponse(context, $"User set to {_currentUserId} and Role set to {_currentRoleName}."); } // 重置角色信息 else if (path == "/noauth/reset") { _currentUserId = null; _currentRoleName = null; await SendOkResponse(context, $"User set to none. Token required for protected endpoints."); } else { var currentUserId = _currentUserId; var currentRoleName = _currentRoleName; // 你也可以通过Header的形式。 //var authHeader = context.Request.Headers["Authorization"]; //if (authHeader != StringValues.Empty) //{ // var header = authHeader.FirstOrDefault(); // if (!string.IsNullOrEmpty(header) && header.StartsWith("User ") && header.Length > "User ".Length) // { // currentUserId = header.Substring("User ".Length); // } //} // 如果用户id和rolename都不为空 // 可以配置HttpContext.User信息了,也就相当于登录了。 if (!string.IsNullOrEmpty(currentUserId) && !string.IsNullOrEmpty(currentRoleName)) { var user = new ClaimsIdentity(new[] { // 用户id new Claim("sub", currentUserId), // 用户名、角色名 new Claim("name", "Test user"), new Claim(ClaimTypes.Name, "Test user"), new Claim("role", currentRoleName), new Claim(ClaimTypes.Role, currentRoleName), // 过期时间,两个:jwt/ids4 new Claim ("exp",$"{new DateTimeOffset(DateTime.Now.AddDays(10100)).ToUnixTimeSeconds()}"), new Claim(ClaimTypes.Expiration, DateTime.Now.AddDays(1).ToString()), // 其他参数 new Claim("nonce", Guid.NewGuid().ToString()), new Claim("http://schemas.microsoft.com/identity/claims/identityprovider", "ByPassAuthMiddleware"), new Claim("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname","User"), new Claim("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname","Microsoft")} , "ByPassAuth"); context.User = new ClaimsPrincipal(user); } await _next.Invoke(context); } } ////// 返回相应 /// /// /// ///private async Task SendOkResponse(HttpContext context, string message) { context.Response.StatusCode = (int)System.Net.HttpStatusCode.OK; context.Response.ContentType = "text/plain"; await context.Response.WriteAsync(message); } }
相应的注释,我已经添加进去了,参数可以任意增加,过期时间任意配置就行,可能第一次看的时候比较不是很清晰,我下边会介绍如何使用,你就会明白了。
设计好中间件,就需要配置下调用,在Startup中,配置中间件:
// 测试用户,用来通过鉴权 if (Configuration.GetValue("AppSettings:UseLoadTest")) { app.UseMiddleware (); } // 先开启认证 app.UseAuthentication(); // 然后是授权中间件 app.UseAuthorization();
注意顺序,一定要是认证和授权中间件的上边,只需要简单想一想就能明白了,先提供登录,再进行权限判断嘛。
其他的修改
1、需要配置参数
这个是肯定的,就是上边的AppSettings:UseLoadTest,在appsettings.json中配置,特别注意的是,在生产环境一定要去掉,或者是禁用,不然被人发现了,得不偿失。
2、修改自定义策略处理器
因为我们已经是这种模拟登录了,就不需要将Header中的令牌给转到Httpcontext上下文了,已经是存在了的,那就需要简单的修改下PermissionHandler.cs:
主要就是这两点,一个是登录判断,增加了一个||的验证,是否是测试环境;
还有一个就是不用result.Principal赋值了,因为这里是空的。
剩下的就没有什么了,咱们来操作看看。
2、测试效果
首先、开启中间件服务
就是在配置文件中,设置为true:
"UseLoadTest": true
这个时候,你可以测试下加权的接口,肯定是由401的:
{ "status": 401, "success": false, "msg": "很抱歉,您无权访问该接口,请确保已经登录!"}
其次、配置用户信息
上边已经有了那个路由了,就是"/noauth",剩下的就是传递一个参数,我的BlogCore中需要用到一个userid一个rolename,所以直接传递过去:
http://localhost:8081/noauth?userid=8&rolename=AdminTest
这个参数由你的真实数据决定,也可以做调整,结果就是这样的:
User set to 8 and Role set to AdminTest.
最后、发起接口测试
直接发送请求,已经可以看到效果了
是不是很方便!我们也可以很随意的修改过期时间,无论你怎么刷新页面,数据都不会丢,有时候你忘了赋值的是什么用户和角色了,直接访问:
如果说想重置,就直接访问接口
这个时候又开始走我们的策略授权方案了
是不是很简单,合理使用中间件,能帮助我们处理很多的麻烦,
就这样啦,打完收工!
转载地址:http://itkdi.baihongyu.com/