哈喽大家好,这篇文章其实很早就想写了,因为一直会有小伙伴问到,但是我却始终拿不到好的方案,最近在录制《eShopOnContainer微服务架构》的视频,碰巧就看到了微软官方的代码中也有这方面的需求,而且和我的需求不谋而合,那我就抄一下吧,当然要适当的做些修改,可见还是要多学习一些框架的。
预告,从这周开始,BCVP开发者组正式推广,因为我先写了这篇文章,所以我会在本周三的时候推广第一个项目,感兴趣的还是要来哟《BCVP,想真正为社区做努力的开发者们》。
先说下问题吧:
我们平时在开发ASP.NETCore的WebApi的时候,肯定会有权限相关的内容,特别是在开发的阶段,需要用到联合调试,或者就是模拟测试,那要获取真实的数据,就需要去登录,我们虽然有Swagger界面为我们省去了打开前端项目的麻烦,但是Swagger也有自身的一些问题:
1、比如登录,我们需要设置时间,万一半个小时有效期内没有成功,我们还得退出并重新登录一次; 2、Swagger采用的是Js赋值,那我们刷新了以后,这个Token就不见了,我们又得重新点击登录,然后输入到窗口内; 3、特别是在调试Ids4项目的时候,还需要把Ids4认证平台的项目也打开,一起运行,才能实现效果。
可以看到为了简单的调试一个业务的接口,还是很麻烦的,那我想着有没有一个方案,可以一次配置,长久有效呢?
肯定是有的,而且很简单,只需要简单的设计一个中间件,就能轻松搞定,来吧,内容很简单,我就不多解释了,直接1234上步骤。
1、设计权限通过中间件
这个内容还是比较清晰的,我先直接写下代码:
/// <summary>
/// 测试用户,用来通过鉴权
/// JWT:?userid=8&rolename=AdminTest
/// </summary>
public class ByPassAuthMidd
{
private readonly RequestDelegate _next;
// 定义变量:当前用户Id,会常驻内存。
private string _currentUserId;
// 同理定义:当前角色名
private string _currentRoleName;
public ByPassAuthMidd(RequestDelegate next)
{
_next = next;
_currentUserId = null;
_currentRoleName = null;
}
public async Task Invoke(HttpContext context)
{
var path = context.Request.Path;
// 请求地址,通过Url参数的形式,设置用户id和rolename
if (path == "/noauth")
{
var userid = context.Request.Query["userid"];
if (!string.IsNullOrEmpty(userid))
{
_currentUserId = userid;
}
var rolename = context.Request.Query["rolename"];
if (!string.IsNullOrEmpty(rolename))
{
_currentRoleName = rolename;
}
await SendOkResponse(context, $"User set to {_currentUserId} and Role set to {_currentRoleName}.");
}
// 重置角色信息
else if (path == "/noauth/reset")
{
_currentUserId = null;
_currentRoleName = null;
await SendOkResponse(context, $"User set to none. Token required for protected endpoints.");
}
else
{
var currentUserId = _currentUserId;
var currentRoleName = _currentRoleName;
// 你也可以通过Header的形式。
//var authHeader = context.Request.Headers["Authorization"];
//if (authHeader != StringValues.Empty)
//{
// var header = authHeader.FirstOrDefault();
// if (!string.IsNullOrEmpty(header) && header.StartsWith("User ") && header.Length > "User ".Length)
// {
// currentUserId = header.Substring("User ".Length);
// }
//}
// 如果用户id和rolename都不为空
// 可以配置HttpContext.User信息了,也就相当于登录了。
if (!string.IsNullOrEmpty(currentUserId) && !string.IsNullOrEmpty(currentRoleName))
{
var user = new ClaimsIdentity(new[] {
// 用户id
new Claim("sub", currentUserId),
// 用户名、角色名
new Claim("name", "Test user"),
new Claim(ClaimTypes.Name, "Test user"),
new Claim("role", currentRoleName),
new Claim(ClaimTypes.Role, currentRoleName),
// 过期时间,两个:jwt/ids4
new Claim ("exp",$"{new DateTimeOffset(DateTime.Now.AddDays(10100)).ToUnixTimeSeconds()}"),
new Claim(ClaimTypes.Expiration, DateTime.Now.AddDays(1).ToString()),
// 其他参数
new Claim("nonce", Guid.NewGuid().ToString()),
new Claim("http://schemas.microsoft.com/identity/claims/identityprovider", "ByPassAuthMiddleware"),
new Claim("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname","User"),
new Claim("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname","Microsoft")}
, "ByPassAuth");
context.User = new ClaimsPrincipal(user);
}
await _next.Invoke(context);
}
}
/// <summary>
/// 返回相应
/// </summary>
/// <param name="context"></param>
/// <param name="message"></param>
/// <returns></returns>
private async Task SendOkResponse(HttpContext context, string message)
{
context.Response.StatusCode = (int)System.Net.HttpStatusCode.OK;
context.Response.ContentType = "text/plain";
await context.Response.WriteAsync(message);
}
}
相应的注释,我已经添加进去了,参数可以任意增加,过期时间任意配置就行,可能第一次看的时候比较不是很清晰,我下边会介绍如何使用,你就会明白了。
设计好中间件,就需要配置下调用,在Startup中,配置中间件:
// 测试用户,用来通过鉴权
if (Configuration.GetValue<bool>("AppSettings:UseLoadTest"))
{
app.UseMiddleware<ByPassAuthMidd>();
}
// 先开启认证
app.UseAuthentication();
// 然后是授权中间件
app.UseAuthorization();
注意顺序,一定要是认证和授权中间件的上边,只需要简单想一想就能明白了,先提供登录,再进行权限判断嘛。
其他的修改
1、需要配置参数
这个是肯定的,就是上边的AppSettings:UseLoadTest,在appsettings.json中配置,特别注意的是,在生产环境一定要去掉,或者是禁用,不然被人发现了,得不偿失。
2、修改自定义策略处理器
因为我们已经是这种模拟登录了,就不需要将Header中的令牌给转到Httpcontext上下文了,已经是存在了的,那就需要简单的修改下PermissionHandler.cs:
主要就是这两点,一个是登录判断,增加了一个||的验证,是否是测试环境;
还有一个就是不用result.Principal赋值了,因为这里是空的。
剩下的就没有什么了,咱们来操作看看。
2、测试效果
首先、开启中间件服务
就是在配置文件中,设置为true:
"UseLoadTest": true
这个时候,你可以测试下加权的接口,肯定是由401的:
{
"status": 401,
"success": false,
"msg": "很抱歉,您无权访问该接口,请确保已经登录!"
}
其次、配置用户信息
上边已经有了那个路由了,就是"/noauth",剩下的就是传递一个参数,我的BlogCore中需要用到一个userid一个rolename,所以直接传递过去:
http://localhost:8081/noauth?userid=8&rolename=AdminTest
这个参数由你的真实数据决定,也可以做调整,结果就是这样的:
User set to 8 and Role set to AdminTest.
最后、发起接口测试
直接发送请求,已经可以看到效果了
是不是很方便!我们也可以很随意的修改过期时间,无论你怎么刷新页面,数据都不会丢,有时候你忘了赋值的是什么用户和角色了,直接访问:
如果说想重置,就直接访问接口
这个时候又开始走我们的策略授权方案了
是不是很简单,合理使用中间件,能帮助我们处理很多的麻烦,
就这样啦,打完收工!
本文分享自 NetCore 从壹开始 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!