实现权限访问控制列表
授权三要素
主体、资源、操作。 例如:用户(主体)对文件(资源)的读写(操作)。主体、资源、操作三者之间的关系称为授权关系,基于这种关系,我们可以将授权关系抽象为一个三元组(主体,资源,操作),这个三元组就是授权的基本单位。
基于角色的访问控制
基于角色的访问控制(Role-Based Access Control,简称 RBAC)是一种访问控制模型,通过角色来控制用户对资源的访问权限。角色是一组权限的集合,用户通过分配角色来获取相应的权限。基于角色的访问控制模型简单易用。还有其它的访问控制模型,如基于属性的访问控制(Attribute-Based Access Control,简称 ABAC)。
权限访问控制列表
权限访问控制列表(Access Control List,简称 ACL)是一种权限控制模型,用于控制用户对资源的访问权限。ACL 通过为每个资源定义一个访问控制列表,来控制用户对资源的操作权限。
ACL 存储设计
public class PermissionGranted
{
public int Id { get; set; }
public int RoleId { get; set; }
public required string PermissionName { get; set; }
public string? ResourceType { get; set; }
public string? ResourceId { get; set; }
}
在 DbContext 中配置 ACL 实体
public void Configure(EntityTypeBuilder<PermissionGranted> builder)
{
builder.ToTable("PermissionGranted");
builder.Property(x => x.Id);
builder.Property(x => x.PermissionName).HasMaxLength(64);
builder.Property(x => x.ResourceType).HasMaxLength(16);
builder.Property(x => x.ResourceId).HasMaxLength(32);
builder.HasOne<Role>().WithMany().HasForeignKey(x => x.RoleId).IsRequired();
builder.HasIndex(x => new { x.RoleId, x.PermissionName, x.ResourceType, x.ResourceId }).IsUnique();
}
权限 ACL 存储设计
public class PermissionGranted
{
public int Id { get; set; }
public int RoleId { get; set; }
public required string PermissionName { get; set; }
public string? ResourceType { get; set; }
public string? ResourceId { get; set; }
}
在 DbContext 中配置 ACL 实体
public void Configure(EntityTypeBuilder<PermissionGranted> builder)
{
builder.ToTable("PermissionGranted");
builder.Property(x => x.Id);
builder.Property(x => x.PermissionName).HasMaxLength(64);
builder.Property(x => x.ResourceType).HasMaxLength(16);
builder.Property(x => x.ResourceId).HasMaxLength(32);
builder.HasOne<Role>().WithMany().HasForeignKey(x => x.RoleId).IsRequired();
builder.HasIndex(x => new { x.RoleId, x.PermissionName, x.ResourceType, x.ResourceId }).IsUnique();
}
设计一个权限检查器
public interface IPermissionChecker
{
Task<bool> IsGrantedAsync(string name, string? resourceType = null, string? resourceId = null);
Task<bool> IsGrantedAsync(ClaimsPrincipal claimsPrincipal, string name, string? resourceType = null, string? resourceId = null);
}
实现抽象的权限检查器
遍历每个角色的权限,如果有一个角色拥有该权限,则返回 true,表示授权通过。
public abstract class PermissionChecker : IPermissionChecker
{
public abstract Task<bool> IsGrantedAsync(string name, string? resourceType = null, string? resourceId = null);
public abstract Task<bool> IsGrantedAsync(ClaimsPrincipal claimsPrincipal, string name, string? resourceType = null, string? resourceId = null);
}
实现权限检查器
ACL 列表存储在数据库中,可以通过 DbContext 实现本地权限检查器,也可以通过 HttpClient 实现远程权限检查器。
public class RemotePermissionChecker: PermissionChecker
public class LocalPermissionChecker: PermissionChecker