ASP.NET Core WebAPI 资源级别的授权在控制器层面之外

使用[Authorize]属性被称为声明式授权。但它在控制器或操作执行之前执行。当您需要基于资源的授权，并且文档具有作者属性时，您必须在授权评估之前从存储中加载文档。这被称为命令式授权。

Microsoft Docs上有一篇文章介绍如何处理ASP.NET Core中的命令式授权。我认为这非常全面，并且回答了您关于标准方法的问题。

此外，您可以在这里找到代码示例。

我的方法是自动限制查询当前认证用户账户所拥有的记录。

我使用一个接口来指示哪些数据记录是与账户相关的。

public interface IAccountOwnedEntity
{
    Guid AccountKey { get; set; }
}

同时提供一个接口来注入逻辑，用于确定仓库应该针对哪个账户进行操作。

public interface IAccountResolver
{
    Guid ResolveAccount();
}

我今天使用的 IAccountResolver 的实现是基于已认证用户的声明。

public class ClaimsPrincipalAccountResolver : IAccountResolver
{
    private readonly HttpContext _httpContext;

    public ClaimsPrincipalAccountResolver(IHttpContextAccessor httpContextAccessor)
    {
        _httpContext = httpContextAccessor.HttpContext;
    }

    public Guid ResolveAccount()
    {
        var AccountKeyClaim = _httpContext
            ?.User
            ?.Claims
            ?.FirstOrDefault(c => String.Equals(c.Type, ClaimNames.AccountKey, StringComparison.InvariantCulture));

        var validAccoutnKey = Guid.TryParse(AccountKeyClaim?.Value, out var accountKey));

        return (validAccoutnKey) ? accountKey : throw new AccountResolutionException();
    }
}

然后在仓库内，我将所有返回的记录限制为属于该帐户的记录。

public class SqlRepository<TRecord, TKey>
    where TRecord : class, IAccountOwnedEntity
{
    private readonly DbContext _dbContext;
    private readonly IAccountResolver _accountResolver;

    public SqlRepository(DbContext dbContext, IAccountResolver accountResolver)
    {
        _dbContext = dbContext;
        _accountResolver = accountResolver;
    }

    public async Task<IEnumerable<TRecord>> GetAsync()
    {
        var accountKey = _accountResolver.ResolveAccount();

        return await _dbContext
                .Set<TRecord>()
                .Where(record => record.AccountKey == accountKey)
                .ToListAsync();
    }


    // Other CRUD operations
}

使用这种方法，我无需记住在每个查询中应用我的帐户限制。它会自动发生。

为了确保User A不能查看属于User B的Id=2订单，我会做以下两件事之一： 第一种： 定义一个GetOrderByIdAndUser(long orderId, string username)函数，并从jwt中获取用户名。 如果该用户不拥有该订单，则无法查看，也不需进行额外的数据库调用。 第二种： 首先从数据库中获取订单GetOrderById(long orderId)，然后验证订单的username属性是否与jwt登录用户相同。 如果该用户不拥有该订单，则抛出异常、返回404或其他操作，并且不需要进行额外的数据库调用。

void ValidateUserOwnsOrder(Order order, string username)
{
            if (order.username != username)
            {
                throw new Exception("Wrong user.");
            }
}

您可以在启动配置服务的ConfigureServices方法中创建多个策略，包含角色或适合此示例的名称。示例如下：

AddPolicy("UserA", builder => builder.RequireClaim("Name", "UserA"))

或者将“UserA”替换为“会计”并将“Name”替换为“角色”。
然后按角色限制控制器方法：

[Authorize(Policy = "UserA")

当然，这又涉及到控制器级别的操作，但您不需要绕过令牌或数据库。这将直接指示哪个角色或用户可以使用哪种方法。

你需要回答的第一个问题是：“我什么时候可以做出授权决策？”。你何时才有足够的信息来进行检查？
如果你几乎总是可以从路由数据（或其他请求上下文）确定所访问的资源，那么具有匹配要求和处理程序的策略可能是合适的。当你与明显分离资源的数据进行交互时，它最有效 - 因为它对列表过滤等事情没有任何帮助，在这些情况下，你将不得不退回到命令式检查。
如果您无法确定用户是否能够操作资源，直到您实际检查它，那么您就只能使用命令式检查。虽然有标准框架，但我认为政策框架更有用。也许在某个时候编写一个IUserContext是有价值的，该上下文可以在查询域时注入（因此进入repos/无论您在哪里使用linq），并封装其中一些过滤器（IEnumerable<Order> Restrict(this IEnumerable<Order> orders, IUserContext ctx)）。
对于复杂的域，不会有简单的解决方案。如果您使用ORM，则它可能会帮助您 - 但请不要忘记，域中可导航的关系将允许代码打破上下文，特别是如果您没有严格保持聚合隔离（myOrder.Items [n] .Product.Orderees[notme]...）。
上次我做这件事时，我成功地使用了基于路由的策略方法解决了90%的情况，但仍需要对一些复杂查询或列表进行手动检查。使用命令式检查的危险是，你可能会忘记它们。一个潜在的解决方案是在控制器级别应用您的[Authorize(Policy = "MatchingUserPolicy")]，在操作中添加一个额外的策略"ISolemlySwearIHaveDoneImperativeChecks"，然后在MatchUserRequirementsHandler中检查上下文，并在命令式检查已被“声明”时绕过天真的用户/订单匹配检查。

你的陈述是错误的，并且你的设计也有问题。 过度优化是万恶之源，这个链接可以总结为“在宣称不可行之前先测试性能”。
使用身份验证（jwt令牌或您配置的任何其他方式）来检查实际用户是否正在访问正确的资源（或者只服务于其拥有的资源）并不会太重。如果变得过重，则说明您做错了什么。可能是您有大量同时访问，只需要缓存一些数据，例如随时间清除的字典顺序->ownerid…但这似乎不是这种情况。
关于设计：创建一个可重用的服务，可以注入并具有访问所需每个资源的方法，该方法接受用户（IdentityUser、jwt主题、仅用户ID或您拥有的任何其他内容）。
例如：

ICustomerStore 
{
    Task<Order[]> GetUserOrders(String userid);
    Task<Bool> CanUserSeeOrder(String userid, String orderid);
}

实现相应的功能并使用此类来系统地检查用户是否可以访问资源。