堆棧內存溢出
  簡體   English   中英

ASP.NET Core RequireClaim 具有多個作用域的“作用域”

[英]ASP.NET Core RequireClaim "scope" with multiple scopes

 原文  2019-02-24 12:55:32       c#/ asp.net-core/ jwt/ asp.net-core-2.1

問題描述

我正在 ASP.NET Core 2.1 上開發一個授權系統,它需要在授予訪問權限之前遵守資源級別和范圍。 也就是說,我必須是一本書的作者(可以有多個),並且必須具有必要的范圍(“write.book”、“read.book”、“delete.book”等)。 我在Startup.cs成功配置了 JWT,並在傳遞無效令牌時收到401s 我遇到的問題是強制執行范圍。 policy.RequireClaim("scope", "write.book")當訪問令牌只需要一個必需的范圍時起作用,但總是失敗,訪問令牌包含多個范圍"write.book delete.book" 如何將策略配置為需要可能是訪問令牌包含的范圍子集的范圍列表? 我沒有看到任何接受范圍列表的Policy方法,所以我假設框架只是執行字符串比較,這就是授權失敗的原因。 write.book != write.book delete.book 澄清一下,如果策略只需要一個范圍write.book ,但訪問令牌write.book delete.book中存在多個范圍,則授權失敗。

下面的代碼僅在訪問令牌包含一個范圍時有效,如果存在多個則失敗。

authorization.AddPolicy("writeBookPolicy", policy => {
    policy.RequireAuthenticatedUser().AddAuthenticationSchemes("Bearer")
      .RequireClaim("scope", "write.book").Build();
});

{"scope": "write.book"} // Works
{"scope": "write.book delete.book"} //Fails

3 個解決方案

解決方案1
 7  2019-08-20 15:47:51

您必須使用更復雜的索賠檢查。 改用RequireAssertion()並解析范圍聲明:

var scopes = new[] { "write.book", "delete.book" };
builder.RequireAssertion(context => {
   var claim = context.User.FindFirst("scope");
   if(claim == null) { return false; }
   return claim.Value.Split(' ').Any(s =>
      scopes.Contains(s, StringComparer.OrdinalIgnoreCase)
   );
});

我寫了一個小擴展方法,雖然不太容易閱讀,但更容易使用:

private static readonly IEnumerable<string> _scopeClaimTypes = new HashSet<string>(StringComparer.OrdinalIgnoreCase) {
    "http://schemas.microsoft.com/identity/claims/scope",
    "scope"
};
public static AuthorizationPolicyBuilder RequireScope(this AuthorizationPolicyBuilder builder, params string[] scopes) {
    return builder.RequireAssertion(context =>
        context.User
            .Claims
            .Where(c => _scopeClaimTypes.Contains(c.Type))
            .SelectMany(c => c.Value.Split(' '))
            .Any(s => scopes.Contains(s, StringComparer.OrdinalIgnoreCase))
    );
}

解決方案2
 1  2021-08-16 15:25:25

另一個選擇是將范圍拆分為多個聲明

        services.AddAuthentication("Bearer")
            .AddJwtBearer("Bearer", options =>
            {
                options.Authority = "https://localhost:5001";
                options.TokenValidationParameters = new() { ValidateAudience = false };

                options.Events = new Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerEvents()
                {
                    OnTokenValidated = async (context) =>
                    {
                        if (context.Principal?.Identity is ClaimsIdentity claimsIdentity)
                        {
                            var scopeClaims = claimsIdentity.FindFirst("scope");
                            if (scopeClaims is not null)
                            {
                                claimsIdentity.RemoveClaim(scopeClaims);
                                claimsIdentity.AddClaims(scopeClaims.Value.Split(' ').Select(scope => new Claim("scope", scope)));
                            }
                        }
                        await Task.CompletedTask;
                    }
                };
            });

解決方案3
 0  2021-07-15 21:46:25

我創建的這些擴展方法允許您添加需要所有范圍或任何范圍的范圍策略

    using Microsoft.AspNetCore.Authorization;
    using System;
    using System.Collections.Generic;
    using System.Linq;
    using System.Security.Claims;

    public static class AuthorizationPolicyBuilder_Extentions
    {
        public static void AddPolicyScope_AllowedScopes(this AuthorizationOptions authorizationOptions, string policyName, params string[] allowedScopes) =>
            authorizationOptions.AddPolicy(policyName, policyBuilder => policyBuilder.RequireClaim("scope", allowedScopes));


        public static void AddPolicyScope_AllRequiredScopes(this AuthorizationOptions authorizationOptions, string policyName, params string[] requiredScopes) =>
            authorizationOptions.AddPolicy(policyName, policyBuilder => policyBuilder.RequireScopes(requiredScopes));

        private static AuthorizationPolicyBuilder RequireScopes(this AuthorizationPolicyBuilder builder, params string[] requiredScopes) =>
             builder.RequireAssertion(context => {
                 var userScopes = GetUserScopes(context);
                 return requiredScopes.All(scope => userScopes.Contains(scope, StringComparer.CurrentCulture));
             });

        private static IEnumerable<string> GetUserScopes(this AuthorizationHandlerContext context) =>
            context?.User?
                    .Claims
                    .Where(c => c.Type.Equals("scope"))
                    .SelectMany(c => c.Value.Split(' ')) ?? new List<string>();
    }

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 子范圍中每個請求范圍的 Asp.net 核心服務 ASP.NET Core:具有范圍的JWT令牌 使用 Asp.Net Core DI 的服務的配置范圍 在 asp.net core 中創建范圍工廠 ASP Core API 2.2。 RequireClaim和RequireAuthenticatedUser策略不起作用 ASP.NET 僅在一個請求的 scope 中的核心模擬服務 DryIoc-ASP.Net Core-每個請求的范圍上下文 無法在存儲庫構造函數 asp.net core 中創建服務范圍 在 asp.net 內核中使用 serilog 維護單獨的 scope 上下文 ASP.NET Core-記錄器的多個實例
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM