首页
/ 探索强大的权限访问控制2(PermissionAccessControl2)——安全与高效的解决方案

探索强大的权限访问控制2(PermissionAccessControl2)——安全与高效的解决方案

2024-05-23 06:45:42作者:沈韬淼Beryl

欢迎来到 PermissionAccessControl2,这是一个基于 .NET Core 3.1 的开源示例应用,它展示了我对于功能和数据授权代码的巧妙处理方式。这个Web应用实现了一个面向有多家零售店的公司的库存和销售管理SaaS平台。

注意:此版本已更新到.NET Core 3.1 (选择3.1而非.NET 5是因为3.1是长期支持版本,但升级至.NET 5应该相对简单)

该项目遵循 MIT 许可协议,并且完全开放源码。

文章系列

提示:如果你喜欢这些文章描述的功能,强烈建议阅读部分7的教程,它会逐步指导你如何从PermissionAccessControl2中挑选并复制适合你应用的代码。

如何使用应用

启动 PermissionAccessControl2 项目,运行ASP.NET Core应用。主页将显示你能做什么,以及该应用的配置信息——如如何控制演示工作方式

默认设置(见下面的配置部分)会使用内存数据库,系统在启动时会预先加载示例用户和数据(初始化可能稍慢,因为它要设置所有示例用户和数据)。示例用户有:

  1. 不同的权限,控制他们能执行哪些操作,例如只有StoreManager可以退款。
  2. 不同的数据键,控制他们能看到哪部分商店数据,比如SalesAssistant和StoreManager只能看到他们的店铺数据,而Director可以看到公司内所有店铺的数据。
  3. 存在一个刷新声明菜单下拉列表,你可以尝试"刷新声明"的功能,如第5部分文章所述。
  4. 还有一个冒名操作菜单下拉列表,允许你尝试"用户冒名操作"的功能,如第六部分所述。

首页提供了更多关于你可以做什么的信息。

应用配置

appsettings.json 文件中,包含了控制系统运行的设置。

控制演示工作方式

此应用程序编写为可与内存数据库或正常(例如SQL Server)数据库一起工作(版本1仅适用于内存数据库,但这使得将其转换为正常数据库变得困难)。以下是 "DemoSetup" 部分的展示:

  "DemoSetup": {
    "DatabaseSetup": "InMemory", //这可以是"InMemory" 或 "Permanent" (真实数据库)
    "CreateAndSeed": true, //如果为真,则会创建数据库并确保数据被初始化
    "AuthVersion": "Everything" //选项包括Off,LoginPermissions,LoginPermissionsDataKey,PermissionsOnly,PermissionsDataKey,Impersonation,RefreshClaims,Everything
}

它们将在接下来的三个子部分中进行说明。

1. 数据库设置属性

这个开关可以选择:

  • "InMemory":选择内存中的Sqlite数据库,非常方便进行测试或更改数据库。
  • "Permanent":选择SQL Server数据库。

请注意,我使用 context.Database.EnsureCreated() 在启动时创建数据库,因为这样很容易。但是,这不支持使用EF Core迁移。参见 PermissionsOnlyApp,这是我在部分7文章 中创建的,它使用了EF Core Migrations来处理数据库变化。

如果你选择 "Permanent" 作为 "DatabaseSetup",你需要提供两个连接字符串:一个是ASP.NET Core Identity数据库的,另一个是存储多租户数据和额外授权数据的数据库。

  "ConnectionStrings": {
    "DefaultConnection": "Server=(localdb)\\mssqllocaldb;Database=PermissionAccessControl2-AspNetCoreIdentity;Trusted_Connection=True;MultipleActiveResultSets=true",
    "DemoDatabaseConnection": "Server=(localdb)\\mssqllocaldb;Database=PermissionAccessControl2-DemoDatabase;Trusted_Connection=True;MultipleActiveResultSets=true"
  },

2. 创建并播种属性

这是为那些希望与SQL Server数据库交互的人准备的。如果其值为false,则所有的数据库创建和播种部分都将关闭。

注意:检查/添加SuperAdmin用户的部分不受此属性影响。

3. 权限版本属性

这个属性使你能够尝试在文章中涵盖的各种授权特性。我在这里不会详细介绍所有特性,因为它们可以在 AuthorizeSetup/AddClaimsToCookie.cs 类中查看。

设置超级管理员用户

appsettings.json文件应包含一个"SuperAdmin"部分,如下所示。在启动时,扩展方法 CheckAddSuperAdminAsync 检查是否存在名为"SuperAdmin"的角色的用户。如果没有,它会尝试使用给出的邮箱(如果已被使用,将会失败)添加一个用户。

  "SuperAdmin": //这包含了超级用户的设置。你必须设置至少一个超级用户,否则无法管理其他用户
  {
    "Email": "... 超级管理员用户的邮箱 ...",
    "Password": "... 密码 ..."
  },

注意:

  1. 建议你在部署时覆盖电子邮件和密码的值,如使用Azure对appsettings.json的覆盖。
  2. 因为"SuperAdmin"角色具有如此大的权力,所以我建议只设置一个具有该角色的用户。使用"SuperAdmin"用户来设置其他管理员用户,并用它们进行正常的管理工作。

项目特点

  1. 灵活性:无论是内存数据库还是持久化数据库,应用都能完美运行,适应不同开发需求。
  2. 安全:通过权限和数据键的双重控制,实现细粒度的访问控制,保证数据安全。
  3. 易扩展性:简单易懂的架构设计,方便开发者将授权代码迁移到自己的应用中。
  4. 实时性:支持动态刷新用户声明,实时调整用户权限。
  5. 实用:内置的用户冒名操作功能,有助于管理和调试。

PermissionAccessControl2 是一个理想的工具,无论你是想学习更高效的安全管理策略,还是寻找一种实现用户权限控制的解决方案,都值得你深入研究和采纳。立即加入我们的社区,共同探索和完善这一优秀开源项目吧!

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
262
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
863
511
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
259
300
kernelkernel
deepin linux kernel
C
22
5
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
596
57
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K