如何根据 WebAPI 权限限制 HATEOAS 导航链接?
[英]How to restrict HATEOAS navigation links based on WebAPI permissions?
问题描述
我正在考虑将HATEOAS类型链接添加到从我的WebAPI路由返回的数据中,这将为客户端提供关于任何给定数据片上可用操作的线索。
所以,我可能有类似的东西:
clients: {
data: [
{data: {id: 1, name: "Client One", age: 1},
_links: {
self: {href: ".../api/clients/1}, method: "get"}
edit: {href: ".../api/clients/1}, method: "put"}
delete: {href: ".../api/clients/1}, method: "delete"}
}
}
],
_links: {
self: {href: ".../api/clients", method: "get"},
add: {href: ".../api/clients", method: "post"}
}
}
我看过很多帖子都在讨论如何包含链接,这样那部分就不是问题了。
问题
HATEOAS背后的部分想法是让您的数据能够自我定义/自我导航。 所以,我想看到的是让我的_links只包括那些基于他/她的权限可供用户使用的链接。 IOW,如果允许用户Edit客户端但不允许Delete客户端,则_links应包括编辑但不包括删除。
那么问题是在生成链接时,我实际上需要评估操作/路由的Authorization Policy ,以确定是否应该包含链接。
所以给出这样的东西(这是一个谈话要点——不是实际的代码):
[Route("api/v1/[controller]")]
[APIController]
[Authorize(Policy="HR")]
public class UsersController : ControllerBase {
[HttpGet]
public async Task<IActionResult> GetClients() {
var results = new List<dynamic>();
var list = context.Clients.Select(u => new BasicClient(u.Id, u.Name))
.ToList();
foreach(var client in list){
//If user has access to GetClient Action
if(??) {
client._links.Self.Href = Url.Action("GetClient", new {id = client.Id});
}
//If user has access to DeleteClient Action
if(??) {
client._links.Delete.Href = Url.Action("DeleteClient", new {id = client.Id});
}
...
}
[HttpGet("{id}", Name="GetClient")]
[Authorize(Policy="ViewClient")]
public async Task<IActionResult> GetClient(int id){ ... }
[HttpDelete("{id}", Name="DeleteClient")]
[Authorize(Policy="DeleteClient")]
public async Task<IActionResult> DeleteClient(int id) { ... }
用户需要满足HR和ViewClients策略所需的权限才能获取self链接,另外还需要满足DeleteClients策略才能获取delete链接。
这可能吗? 我想错了吗? 有没有更好的办法?
澄清
虽然可以使用AuthorizationService来检查特定的策略,但我想要做的是避免使用硬编码的策略。 策略已在Controller和我尝试访问的Actions上定义。 我想知道是否有办法根据Action验证用户(并让框架整理出需要应用什么策略)。
因此,就像Url.Action("GetClient",...)采用Action的名称并根据定义的路由构建正确的链接一样,我想要类似AuthService.AuthorizeAction("GetClient", User)这将确定哪些权限是必要的,以及用户是否拥有这些权限。
希望.NetCore 有内置的东西可以做到这一点。 如果没有,我想我可以使用反射和IAuthorizationService来做到这一点。
1 个解决方案
解决方案1
0 2019-11-08 18:30:39
IAuthorizationService是您正在寻找的服务。 这是一个代码片段:
var result = await authorization.AuthorizeAsync(User, "IsLucky");
IsLucky = result.Succeeded;
WebAPI 2 OData-'〜/ entityset / key / $ links / navigation'没有路由约定
[英]WebAPI 2 OData - No routing convention for '~/entityset/key/$links/navigation'
如何根据登录状态/角色限制/控制用户可以访问的导航路线?
[英]How can you restrict/control the navigation routes the user can visit based on login status/role?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.