Auth0,具有授权扩展和ASP.NET授权

问题描述 投票:1回答:4

我正在使用Auth0进行项目。我们希望使用授权扩展中的权限系统进行设置。

例如。角色管理员:用户:viewAll用户:编辑用户:xyz

角色用户:users:editOwn用户:viewOwn用户:ect

然后在项目中尽可能使用[Authorize(Policy =“users:kvm”)]标签。

但是,我找不到任何有关如何从Auth0实际使用授权扩展的资源。我完全失去了,所以如果有人能指导我在哪里寻找这些,我会非常高兴。

c# core auth0
4个回答
1
投票

授权扩展可通过API访问

您必须启用API访问并设置机器以进行机器通信,以便您可以访问端点。 (如链接中所述)

然后使用this文档来管理权限,角色,组等。

每个请求都必须包含一个令牌(JWT),您必须事先通过POST请求从https://yourdomain.auth0.com/oauth/token获取该令牌。

您必须提供四个参数:

grant_type = client_credentials 
client_id = {from your auth0 application}
client_secret = {from your auth0 application}
audience=urn:auth0-authz-api

将令牌放入每个请求的标头中,如"Authorization" : "Bearer #YOURTOKEN#"

您可以使用任何REST客户端来命中端点。首先,我建议使用Postman测试端点并检查您需要的呼叫。有一个方便的collection你可以使用一些调整。


2
投票

您可以使用授权Extension创建表示对每个应用程序的访问权限。

注意:创建权限时“名称”应反映应用程序的客户端ID

示例图片如下

enter image description here

然后创建代表每个应用程序的角色,并确保选择相关权限。

在此示例中:角色名称为“SampleClientAccess”

enter image description here

  1. 然后创建组并链接您创建的角色。将相关用户添加到该组

enter image description here

  1. 最后一步。转到仪表板>规则>创建自定义规则和以下代码。

function (user, context, callback) { 
      // Assume that permission for an application is the client_id of the permission then
 
     if (user.permissions.indexOf(context.clientID) === -1 ){
         callback(new UnauthorizedError('You are not allowed to access ' + context.clientName + JSON.stringify(user)));
     }
     callback(null, user, context);
}

希望这会以某种方式帮助你。


1
投票

我决定放弃auth0的授权并自己设计一个系统。

无法绕过文档。


0
投票

我想在遗留的.NET MVC应用程序和.NET Core 2.0 API中添加我如何使用它,因为我希望它能节省很多时间,因为我花了很多时间来解决这个问题。

如果你想要的只是获取auth0中的组,权限,角色和更新用户帐户,那么请按照@StV的答案中的步骤操作。

但是如果你想在.NET中检查权限/角色等,那么我就是这样做的:

将组,角色和权限添加到访问或Id令牌(或两者)。要执行此操作,请按照说明here进行操作

从上面的配置步骤发布规则后,您必须自己在Auth0中创建另一个规则,将信息复制到令牌中(这让我有一段时间了)。这必须在Auth0发布/创建的规则之后运行。我看起来像这样:

function (user, context, callback) {
  if(user.app_metadata) {
    var namespace = 'https://visionplatform.com/';
    context.accessToken[namespace + 'roles'] = user.roles;
    context.accessToken[namespace + 'permissions'] = user.permissions;
    context.idToken[namespace + 'roles'] = user.roles;
    context.idToken[namespace + 'permissions'] = user.permissions;    
  }
  callback(null, user, context);
}

现在,如果用户登录,他们将在其令牌中拥有其组,角色和权限。但请记住,只有您验证的特定客户端的组,角色和权限才会显示(我已经丢失了几个小时)。

所以现在你可以获得/检查代码中的权限是解码JWT。以下是一些代码片段,我是如何在库方法中完成此操作的(即不是授权属性):

首先获取TokenValidationPrams

public TokenValidationParameters GetTokenValidationParameter(string domain, string audience)
{
    IConfigurationManager<OpenIdConnectConfiguration> configurationManager = new ConfigurationManager<OpenIdConnectConfiguration>($"{domain}.well-known/openid-configuration", new OpenIdConnectConfigurationRetriever());
    var openIdConfig = AsyncHelper.RunSync(async () => await configurationManager.GetConfigurationAsync(CancellationToken.None));

    return new TokenValidationParameters
    {
        ValidIssuer = $"{domain}",
        ValidAudiences = new[] { audience },
        IssuerSigningKeys = openIdConfig.SigningKeys
    };
}

然后解码您的JWT以获得声明

private ClaimsPrincipal GetValidatedToken(string token, TokenValidationParameters validationParameters)
{
    var handler = new JwtSecurityTokenHandler();
    return handler.ValidateToken(token, validationParameters, out var _);
}

现在,您可以检查声明原则,看看它是否包含您的群组,权限或其他任何内容(请注意我只是检查权限)。

public bool ValidateTokenClaimsPermissionExists(string token, string domain, string audience, string permission)
{
    var claimsPrincipal = GetValidatedToken(token, _tokenValidationParameters);

    var scopePermission = claimsPrincipal.FindFirst(c => c.Type == Constants.PermissionsClaimTypeName && c.Value == permission);
    return scopePermission != null;
}

我使用上面的方法来单独调用以检查权限,但您可以(并且可能应该)编写自己的authorize属性,或者如果您使用的是.NET Core,您可以根据文档here编写AuthorizationHandler中间件来检查您想要的任何声明。 。下面的一个检查范围,但您可以根据上面的代码调整它以检查权限:

protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, HasScopeRequirement requirement)
{
    // If user does not have the scope claim, get out of here
    if (!context.User.HasClaim(c => c.Type == "scope" && c.Issuer == requirement.Issuer))
    {
        return Task.CompletedTask;
    }

    // Split the scopes string into an array
    var scopes = context.User.FindFirst(c => c.Type == "scope" && c.Issuer == requirement.Issuer).Value.Split(' ');

    // Succeed if the scope array contains the required scope
    if (scopes.Any(s => s == requirement.Scope))
        context.Succeed(requirement);

    return Task.CompletedTask;
}

我将使用上述所有内容来为我的.NET MVC应用程序编写一个authorize属性。


0
投票

对于简单的设置,您可以通过Auth0 GUI设置角色,并使用规则将其应用于用户:

function (user, context, callback) {

   // Roles should only be set to verified users.
  if (!user.email || !user.email_verified) {
    return callback(null, user, context);
  }

  user.app_metadata = user.app_metadata || {};

  const assignedRoles = (context.authorization || {}).roles;

  const addRolesToUser = function(user) {
    return assignedRoles;
  };

  const roles = addRolesToUser(user);

  user.app_metadata.roles = roles;
  auth0.users.updateAppMetadata(user.user_id, user.app_metadata)
    .then(function() {
      context.idToken['https://schemas.<yourdomain>.com'] = user.app_metadata.roles;
      callback(null, user, context);
    })
    .catch(function (err) {
      callback(err);
    });
}

你的startup.cs应该是这样的:

services.AddAuthorization(options =>
{
  options.AddPolicy("Administrator", authBuilder => { authBuilder.RequireRole("Administrator"); });
  options.AddPolicy("User", authBuilder => { authBuilder.RequireRole("Administrator", "User"); });
}

在Controller中例如:

[Authorize(Roles = "Administrator, User")]
<<your code>>
© www.soinside.com 2019 - 2024. All rights reserved.