FastEndpoints中基于数据库的动态权限控制实现

背景介绍

在现代Web应用开发中，权限控制是一个核心功能。FastEndpoints作为一个高性能的.NET Web框架，提供了简洁的权限控制机制。然而，当权限数据存储在数据库中而非直接嵌入JWT令牌时，如何实现动态权限加载成为了一个常见问题。

核心挑战

传统JWT方案通常将权限直接编码在令牌中，这种方式简单但不够灵活。当权限需要从数据库动态加载时，开发者面临以下挑战：

1. 如何在不修改JWT内容的情况下扩展用户权限信息
2. 如何确保权限数据在请求处理流程中及时可用
3. 如何保持FastEndpoints简洁的权限声明方式

解决方案：IClaimTransformation

ASP.NET Core提供了IClaimTransformation接口，允许我们在请求处理过程中动态转换用户声明(Claims)。这正是解决动态权限加载问题的理想方案。

实现步骤

1. 创建自定义Claim转换器

public class DatabaseClaimsTransformer : IClaimsTransformation
{
    private readonly IPermissionService _permissionService;

    public DatabaseClaimsTransformer(IPermissionService permissionService)
    {
        _permissionService = permissionService;
    }

    public async Task<ClaimsPrincipal> TransformAsync(ClaimsPrincipal principal)
    {
        if (principal.Identity?.IsAuthenticated != true)
            return principal;

        var existingClaims = principal.Claims.ToList();
        var userId = existingClaims.FirstOrDefault(c => c.Type == "Id")?.Value;
        
        if (string.IsNullOrEmpty(userId))
            return principal;

        // 从数据库获取权限
        var permissions = await _permissionService.GetPermissionsForUserAsync(userId);
        
        // 添加权限声明
        var claimsIdentity = new ClaimsIdentity();
        foreach (var permission in permissions)
        {
            claimsIdentity.AddClaim(new Claim("permission", permission));
        }

        principal.AddIdentity(claimsIdentity);
        return principal;
    }
}

2. 注册服务

在Startup.cs或Program.cs中注册转换器：

builder.Services.AddTransient<IClaimsTransformation, DatabaseClaimsTransformer>();

3. 定义权限常量

public static class Allow
{
    public const string Team_Read = "Team_Read";
    public const string Team_Write = "Team_Write";
    // 其他权限...
}

4. 在端点中使用

public class ListTeamsEndpoint : EndpointWithoutRequest
{
    public override void Configure()
    {
        Get("teams");
        AuthSchemes(JwtBearerDefaults.AuthenticationScheme);
        Permissions(Allow.Team_Read);
    }

    // 处理逻辑...
}

实现原理

1. 请求流程：

   • 用户携带JWT令牌发起请求
   • JWT认证中间件解析令牌并创建初始ClaimsPrincipal
   • IClaimsTransformation介入，从数据库加载权限数据
   • 转换后的ClaimsPrincipal包含所有权限声明
   • FastEndpoints权限检查器验证权限

2. 性能考虑：

   • 建议对权限查询结果进行缓存
   • 可考虑使用内存缓存或分布式缓存
   • 设置合理的缓存过期时间

最佳实践

1. 权限设计：

   • 采用RBAC(基于角色的访问控制)模型
   • 角色到权限的映射存储在数据库
   • 用户只关联角色，不直接关联权限

2. 数据库设计：

   CREATE TABLE Roles (
       Id INT PRIMARY KEY,
       Name NVARCHAR(50) NOT NULL
   );
   
   CREATE TABLE Permissions (
       Id INT PRIMARY KEY,
       Key NVARCHAR(100) NOT NULL,
       Description NVARCHAR(255)
   );
   
   CREATE TABLE RolePermissions (
       RoleId INT,
       PermissionId INT,
       PRIMARY KEY (RoleId, PermissionId),
       FOREIGN KEY (RoleId) REFERENCES Roles(Id),
       FOREIGN KEY (PermissionId) REFERENCES Permissions(Id)
   );
   
   CREATE TABLE UserRoles (
       UserId UNIQUEIDENTIFIER,
       RoleId INT,
       PRIMARY KEY (UserId, RoleId)
   );
   

3. 缓存策略：

   • 用户权限变更时清除缓存
   • 考虑使用滑动过期
   • 对高频访问用户实施预热

扩展思考

1. 多租户支持：

   • 在权限键中加入租户标识
   • 如："TenantA_Team_Read"

2. 权限继承：

   • 实现角色继承关系
   • 子角色自动获得父角色的权限

3. 权限分组：

   • 按功能模块组织权限
   • 便于管理和维护

总结

通过IClaimsTransformation接口，我们可以在FastEndpoints中优雅地实现基于数据库的动态权限控制。这种方法既保持了JWT的无状态特性，又获得了数据库存储的灵活性。开发者可以根据实际需求，在此基础上构建更复杂的权限系统，如多租户支持、权限继承等高级功能。