如何实现ASP.NETCore基于用户等级的细粒度权限授权策略?
- 内容介绍
- 文章标签
- 相关推荐
本文共计3787个文字,预计阅读时间需要16分钟。
验证和授权是两个独立但相互关联的过程。验证是检查访问者的合法性,而授权则决定访问者是否有权限查看资源。验证先于授权,先确认访问者身份,再根据身份决定权限。这两个过程共同构成了所谓的Claim流程。
验证和授权是两个独立但又存在联系的过程。验证是检查访问者的合法性,授权是校验访问者有没有权限查看资源。它们之间的联系——先验证再授权。
贯穿这两过程的是叫 Claim 的东东,可以叫它“声明”。没什么神秘的,就是由两个字符串组成的对象,一曰 type,一曰 value。type 和 value 有着映射关系,类似字典结构的 key 和 value。Claim 用来收集用户相关信息,比如
UserName = admin Age = 105 Birth = 1990,4,12 Address = 火星街130号
ClaimTypes 静态类定义了一些标准的 type 值。如用户名Name,国家Country,手机号MobilePhone,家庭电话HomePhone 等等。你也可以自己定义一个,反正就是个字符串。
另外,还有一个ClaimValueTypes 辅助类,也是一组字符串,用于描述 value 的类型。如Integer、HexBinary、String、DnsName 等。其实所有 value 都是用字符串表示的,ValueTypes 只是基于内容本身的含义而定义的分类,在查找和分析 Claim 时有辅助作用。比如,值是 “00:15:30”,可以认为其 ValueType 是 Time,这样在分析这些数据时可以方便一些。
一般,代码会在 Sign in 前收集这些用户信息。作用是为后面的授权做准备。授权时会对这些用户信息进行综合评估,以决定该用户是否有能力访问某些资源。
回到本文主题。本文的重点是说授权,老周的想法是根据用户的等级来授权。比如,用户A的等级是2,如果某个URL要求4级以上的用户才能访问,那么A就无权访问了。
为了简单,老周就不建数据库这么复杂的东西了,直接写个类就好了。
本文共计3787个文字,预计阅读时间需要16分钟。
验证和授权是两个独立但相互关联的过程。验证是检查访问者的合法性,而授权则决定访问者是否有权限查看资源。验证先于授权,先确认访问者身份,再根据身份决定权限。这两个过程共同构成了所谓的Claim流程。
验证和授权是两个独立但又存在联系的过程。验证是检查访问者的合法性,授权是校验访问者有没有权限查看资源。它们之间的联系——先验证再授权。
贯穿这两过程的是叫 Claim 的东东,可以叫它“声明”。没什么神秘的,就是由两个字符串组成的对象,一曰 type,一曰 value。type 和 value 有着映射关系,类似字典结构的 key 和 value。Claim 用来收集用户相关信息,比如
UserName = admin Age = 105 Birth = 1990,4,12 Address = 火星街130号
ClaimTypes 静态类定义了一些标准的 type 值。如用户名Name,国家Country,手机号MobilePhone,家庭电话HomePhone 等等。你也可以自己定义一个,反正就是个字符串。
另外,还有一个ClaimValueTypes 辅助类,也是一组字符串,用于描述 value 的类型。如Integer、HexBinary、String、DnsName 等。其实所有 value 都是用字符串表示的,ValueTypes 只是基于内容本身的含义而定义的分类,在查找和分析 Claim 时有辅助作用。比如,值是 “00:15:30”,可以认为其 ValueType 是 Time,这样在分析这些数据时可以方便一些。
一般,代码会在 Sign in 前收集这些用户信息。作用是为后面的授权做准备。授权时会对这些用户信息进行综合评估,以决定该用户是否有能力访问某些资源。
回到本文主题。本文的重点是说授权,老周的想法是根据用户的等级来授权。比如,用户A的等级是2,如果某个URL要求4级以上的用户才能访问,那么A就无权访问了。
为了简单,老周就不建数据库这么复杂的东西了,直接写个类就好了。