访问/保护Restful服务oAuth2

Question

我正在尝试编写一个Restful服务，它有多个端点，例如

假设每个端点调用均由角色保护。

1. GetEmployees（角色/声明= Employee.Readonly或Employee.Edit或Employee.Admin）
2. AddEmployee（角色/声明= Employee.Edit或Employee.Admin）
3. UpdateEmployee（角色/声明= Employee.Edit或Employee.Admin）
4. DeleteEmployee（角色/索赔= Employee.Admin）

借助隐式流程，只需检查角色声明就可以了。
我对客户凭证流感到困惑，如何在此处将作用域映射到角色？

Answer 1

假设您具有以下情况的“客户端凭据”方法：

var client = new TokenClient(
            BaseAddress + "/connect/token",
            "clientId",
            "clientSecret");

var result = client.RequestClientCredentialsAsync(scope: "my.api").Result;

var accessToken = result.AccessToken;

var client = new HttpClient();
client.SetBearerToken(accessToken);
var result = client.GetStringAsync("https://protectedapiaddress/api/data/getdata").Result;

其中BaseAddress是您的IDS地址。

当然，您将必须使用适当的流程（客户端凭据）在IDS客户端列表中注册您的客户端，并且范围是可选的，但是我想您将需要一个。

然后在API端，您可以使用新的基于策略的授权 。

API方法：

[HttpGet]
[Authorize(Policy = "AdminUser")]
[Route("getdata")]
public Data GetData()
{
  // some code here
}

以及授权要求：

public class AdminUserRequirement : AuthorizationHandler<AdminUserRequirement>, IAuthorizationRequirement
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, AdminUserRequirement requirement)
    {
        if (!context.User.HasClaim(<'Your rule'>))
        {
            context.Fail();
        }
        else
        {
            context.Succeed(requirement);
        }
        return Task.FromResult(0);
    }
}

在索赔中，您将拥有

    {
       "scope" : "my.api"
       "clientId" : "clientId"
    }

和更多。 然后您可以应用规则。

编辑 ：忘记提及-您必须在Startup.cs中注册策略

public void ConfigureServices(IServiceCollection services)
{
    services
            .AddMvcCore()
            .AddAuthorization(options =>
            {
                    options.AddPolicy("AdminUser",
                    policy => policy.Requirements.Add(new AdminUserRequirement()));
            });

    // More code here

}