我正在使用Auth0进行项目。我们希望使用授权扩展中的权限系统进行设置。
例如。角色管理员:用户:viewAll用户:编辑用户:xyz
角色用户:users:editOwn用户:viewOwn用户:ect
然后在项目中尽可能使用[Authorize(Policy =“users:kvm”)]标签。
但是,我找不到任何有关如何从Auth0实际使用授权扩展的资源。我完全失去了,所以如果有人能指导我在哪里寻找这些,我会非常高兴。
授权扩展可通过API访问
您必须启用API访问并设置机器以进行机器通信,以便您可以访问端点。 (如链接中所述)
然后使用this文档来管理权限,角色,组等。
每个请求都必须包含一个令牌(JWT),您必须事先通过POST请求从https://yourdomain.auth0.com/oauth/token获取该令牌。
您必须提供四个参数:
grant_type = client_credentials
client_id = {from your auth0 application}
client_secret = {from your auth0 application}
audience=urn:auth0-authz-api
将令牌放入每个请求的标头中,如"Authorization" : "Bearer #YOURTOKEN#"
您可以使用任何REST客户端来命中端点。首先,我建议使用Postman测试端点并检查您需要的呼叫。有一个方便的collection你可以使用一些调整。
您可以使用授权Extension
创建表示对每个应用程序的访问权限。
注意:创建权限时“名称”应反映应用程序的客户端ID
示例图片如下
然后创建代表每个应用程序的角色,并确保选择相关权限。
在此示例中:角色名称为“SampleClientAccess”
function (user, context, callback) {
// Assume that permission for an application is the client_id of the permission then
if (user.permissions.indexOf(context.clientID) === -1 ){
callback(new UnauthorizedError('You are not allowed to access ' + context.clientName + JSON.stringify(user)));
}
callback(null, user, context);
}
希望这会以某种方式帮助你。
我决定放弃auth0的授权并自己设计一个系统。
无法绕过文档。
我想在遗留的.NET MVC应用程序和.NET Core 2.0 API中添加我如何使用它,因为我希望它能节省很多时间,因为我花了很多时间来解决这个问题。
如果你想要的只是获取auth0中的组,权限,角色和更新用户帐户,那么请按照@StV的答案中的步骤操作。
但是如果你想在.NET中检查权限/角色等,那么我就是这样做的:
将组,角色和权限添加到访问或Id令牌(或两者)。要执行此操作,请按照说明here进行操作
从上面的配置步骤发布规则后,您必须自己在Auth0中创建另一个规则,将信息复制到令牌中(这让我有一段时间了)。这必须在Auth0发布/创建的规则之后运行。我看起来像这样:
function (user, context, callback) {
if(user.app_metadata) {
var namespace = 'https://visionplatform.com/';
context.accessToken[namespace + 'roles'] = user.roles;
context.accessToken[namespace + 'permissions'] = user.permissions;
context.idToken[namespace + 'roles'] = user.roles;
context.idToken[namespace + 'permissions'] = user.permissions;
}
callback(null, user, context);
}
现在,如果用户登录,他们将在其令牌中拥有其组,角色和权限。但请记住,只有您验证的特定客户端的组,角色和权限才会显示(我已经丢失了几个小时)。
所以现在你可以获得/检查代码中的权限是解码JWT。以下是一些代码片段,我是如何在库方法中完成此操作的(即不是授权属性):
首先获取TokenValidationPrams
public TokenValidationParameters GetTokenValidationParameter(string domain, string audience)
{
IConfigurationManager<OpenIdConnectConfiguration> configurationManager = new ConfigurationManager<OpenIdConnectConfiguration>($"{domain}.well-known/openid-configuration", new OpenIdConnectConfigurationRetriever());
var openIdConfig = AsyncHelper.RunSync(async () => await configurationManager.GetConfigurationAsync(CancellationToken.None));
return new TokenValidationParameters
{
ValidIssuer = $"{domain}",
ValidAudiences = new[] { audience },
IssuerSigningKeys = openIdConfig.SigningKeys
};
}
然后解码您的JWT以获得声明
private ClaimsPrincipal GetValidatedToken(string token, TokenValidationParameters validationParameters)
{
var handler = new JwtSecurityTokenHandler();
return handler.ValidateToken(token, validationParameters, out var _);
}
现在,您可以检查声明原则,看看它是否包含您的群组,权限或其他任何内容(请注意我只是检查权限)。
public bool ValidateTokenClaimsPermissionExists(string token, string domain, string audience, string permission)
{
var claimsPrincipal = GetValidatedToken(token, _tokenValidationParameters);
var scopePermission = claimsPrincipal.FindFirst(c => c.Type == Constants.PermissionsClaimTypeName && c.Value == permission);
return scopePermission != null;
}
我使用上面的方法来单独调用以检查权限,但您可以(并且可能应该)编写自己的authorize属性,或者如果您使用的是.NET Core,您可以根据文档here编写AuthorizationHandler中间件来检查您想要的任何声明。 。下面的一个检查范围,但您可以根据上面的代码调整它以检查权限:
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, HasScopeRequirement requirement)
{
// If user does not have the scope claim, get out of here
if (!context.User.HasClaim(c => c.Type == "scope" && c.Issuer == requirement.Issuer))
{
return Task.CompletedTask;
}
// Split the scopes string into an array
var scopes = context.User.FindFirst(c => c.Type == "scope" && c.Issuer == requirement.Issuer).Value.Split(' ');
// Succeed if the scope array contains the required scope
if (scopes.Any(s => s == requirement.Scope))
context.Succeed(requirement);
return Task.CompletedTask;
}
我将使用上述所有内容来为我的.NET MVC应用程序编写一个authorize属性。
对于简单的设置,您可以通过Auth0 GUI设置角色,并使用规则将其应用于用户:
function (user, context, callback) {
// Roles should only be set to verified users.
if (!user.email || !user.email_verified) {
return callback(null, user, context);
}
user.app_metadata = user.app_metadata || {};
const assignedRoles = (context.authorization || {}).roles;
const addRolesToUser = function(user) {
return assignedRoles;
};
const roles = addRolesToUser(user);
user.app_metadata.roles = roles;
auth0.users.updateAppMetadata(user.user_id, user.app_metadata)
.then(function() {
context.idToken['https://schemas.<yourdomain>.com'] = user.app_metadata.roles;
callback(null, user, context);
})
.catch(function (err) {
callback(err);
});
}
你的startup.cs应该是这样的:
services.AddAuthorization(options =>
{
options.AddPolicy("Administrator", authBuilder => { authBuilder.RequireRole("Administrator"); });
options.AddPolicy("User", authBuilder => { authBuilder.RequireRole("Administrator", "User"); });
}
在Controller中例如:
[Authorize(Roles = "Administrator, User")]
<<your code>>