歡迎訪問我的GitHub

https://github.com/zq2599/blog_demos
內容：所有原創文章分類匯總及配套源碼，涉及Java、Docker、Kubernetes、DevOPS等；

關於GitLab CI

如下圖所示，開發者將代碼提交到GitLab后，可以觸發CI腳本在GitLab Runner上執行，通過編寫CI腳本我們可以完成很多使用的功能：編譯、構建、生成docker鏡像、推送到私有倉庫等：

本次實戰內容

今天咱們會一起完成以下操作：

1. 部署minio，pipeline腳本中的cache功能由minio來實現；
2. 配置和部署GitLab Runner；
3. 編寫和運行pipeline腳本；

環境和版本信息

本次實戰涉及到多個服務，下面給出它們的版本信息供您參考：

1. GitLab：Community Edition 13.0.6
2. GilLab Runner：13.1.0
3. kubernetes：1.15.3
4. Harbor：1.1.3
5. Minio：2020-06-18T02:23:35Z
6. Helm：2.16.1

需要提前準備好的服務

以下服務需要您在實戰前提前準備好：

1. 部署好GitLab，參考《群暉DS218+部署GitLab》
2. 部署好Harbor，參考《群暉DS218+部署Harbor(1.10.3)》
3. 部署好Helm，參考《部署和體驗Helm(2.16.1版本)》

準備完畢后開始實戰；

部署minio

minio作為一個獨立的服務部署，我將用docker部署在服務器：192.168.50.43

1. 在宿主機準備兩個目錄，分別存儲minio的配置和文件，執行以下命令：

mkdir -p /var/services/homes/zq2599/minio/gitlab_runner \
&& chmod -R 777 /var/services/homes/zq2599/minio/gitlab_runner \
&& mkdir -p /var/services/homes/zq2599/minio/config \
&& chmod -R 777 /var/services/homes/zq2599/minio/config

1. 執行docker命令創建minio服務，指定服務端口是9000，並且指定了access key(最短三位)和secret key(最短八位)：

sudo docker run -p 9000:9000 --name minio \
-d --restart=always \
-e "MINIO_ACCESS_KEY=access" \
-e "MINIO_SECRET_KEY=secret123456" \
-v /var/services/homes/zq2599/minio/gitlab_runner:/gitlab_runner \
-v /var/services/homes/zq2599/minio/config:/root/.minio \
minio/minio server /gitlab_runner

1. 瀏覽器訪問，輸入access key和secret key后登錄成功：
2. 如下圖，點擊紅框中的圖標，創建一個bucket，名為runner：
3. 至此，minio已備好，接下來在kubernetes環境部署GitLab Runner；

GitLab Runner的類型

從使用者的維度來看，GitLab Runner的類型分為shared和specific兩種：

1. 如果您想創建的GitLab Runner給所有GitLab倉庫使用，就要創建shared類型；
2. 如果您的GitLab Runner只用於給某個固定的Gitlab倉庫，就要創建specific類型；

今天的實戰，我們創建的是specific類型，即先有GitLab代碼倉庫，然後創建該倉庫專用的runner，所以請您提前準備好GitLab倉庫；

準備GitLab配置信息(specific)

在部署GitLab Runner之前，要準備兩個關鍵的配置信息，以便GitLab Runner啟動后可以順利連接上GitLab：

1. 瀏覽器訪問GitLab，打開用來做CI的代碼倉庫，點擊Settings -> CI/CD -> Runners -> Expand：
2. 如下圖，紅框1中是gitlab url，紅框2中是registration token，記好這兩個參數，稍後會用到：

準備GitLab配置信息(shared)

本次實戰不會創建shared類型的runner，如果您要創建該類型runner，只需按照以下方法準備信息即可，創建出來的runner就是所有倉庫都能使用的了：

1. 以管理員身份登錄GitLab；
2. 按照下圖紅框的順序取得gitlab url和registration token：

部署RitLab Runner

1. 請確保當前可以通過kubectl命令在kubernetes進行常規操作；
2. 創建名為gitlab-runner的namespace：

kubectl create namespace gitlab-runner

1. 創建一個secret，把minio的access key和secret key存進去，在後面配置cache的時候會用到：

kubectl create secret generic s3access \
--from-literal=accesskey="access" \
--from-literal=secretkey="secret123456" -n gitlab-runner

1. 用helm部署GitLab Runner之前，先把chart的倉庫添加到helm的倉庫列表中：

helm repo add gitlab https://charts.gitlab.io

1. 下載GitLab Runner的chart：

helm fetch gitlab/gitlab-runner

1. 當前目錄會多出一個文件gitlab-runner-0.18.0.tgz，解壓：

tar -zxvf gitlab-runner-0.18.0.tgz

1. 解壓后是名為gitlab-runner的文件夾，內容如下圖所示，接下來要修改裏面的三個文件：
2. 打開values.yaml，裏面有四處需要修改：
3. 第一處，找到已被註釋掉的gitlabUrl參數位置，添加gitlabUrl的配置，其值就是前面在GitLab網頁取得的gitlab url參數，如下圖紅框：
4. 第二處，找到已被註釋掉的runnerRegistrationToken參數位置，添加runnerRegistrationToken的配置，其值就是前面在GitLab網頁取得的registration token參數，如下圖紅框：
5. 找到rbac的配置，將create和clusterWideAccess的值都改成true(創建RBAC、創建容器gitlab-bastion用於管理job的容器)：
6. 設置此GitLab Runner的tag為k8s，在pipeline腳本中可以通過指定tag為k8s，這樣pipeline就會在這個Gitlab Runner上允許：
7. 找到cache的配置，在修改之前，cache的配置如下圖，可見值為空內容的大括號，其餘信息全部被註釋了：
8. 修改后的cache配置如下圖，紅框1中原先的大括號已去掉，紅框2中的是去掉了註釋符號，內容不變，紅框3中填寫的是minio的訪問地址，紅框4中的是去掉了註釋符號，內容不變：
9. 上圖紅框4中的s3CacheInsecure參數等於false表示對minio的請求為http(如果是true就是https)，但實際證明，當前版本的chart中該配置是無效的，等到運行時還是會以https協議訪問，解決此問題的方法是修改templates目錄下的_cache.tpl文件，打開此文件，找到下圖紅框中的內容：
10. 將上圖紅框中的內容替換成下面紅框中的樣子，即刪除原先的if判斷和對應的end這兩行，直接給CACHE_S3_INSECURE賦值：
11. 接下來要修改的是templates/configmap.yaml文件，在這裏面將宿主機的docker的sock映射給runner executor，這樣job中的docker命令就會發到宿主機的docker daemon上，由宿主機來執行，打開templates/configmap.yaml，找到下圖位置，我們要在紅框1和紅框2之間添加一段內容：
12. 要在上圖紅框1和紅框2之間添加的內容如下：

cat >>/home/gitlab-runner/.gitlab-runner/config.toml <<EOF
            [[runners.kubernetes.volumes.host_path]]
              name = "docker"
              mount_path = "/var/run/docker.sock"
              read_only = true
              host_path = "/var/run/docker.sock"
    EOF

1. 添加上述內容后，整體效果如下，紅框中就是新增內容：
2. 修改完畢，回到values.yam所在目錄，執行以下命令即可創建GitLab Runner：

helm install \
--name-template gitlab-runner \
-f values.yaml . \
--namespace gitlab-runner

1. 檢查pod是否正常：
2. 看pod日誌也並未發現異常：
3. 回到GitLab的runner頁面，可見新增一個runner：

   至此，整個GitLab CI環境已部署完畢，接下來簡單的驗證環境是否OK；

驗證

1. 在GitLab倉庫中，增加名為.gitlab-ci.yml的文件，內容如下：

# 設置執行鏡像
image: busybox:latest

# 整個pipeline有兩個stage
stages:
- build
- test

# 定義全局緩存，緩存的key來自分支信息，緩存位置是vendor文件夾
cache:
  key: ${CI_COMMIT_REF_SLUG}
  paths:
  - vendor/

before_script:
  - echo "Before script section"

after_script:
  - echo "After script section"

build1:
  stage: build
    tags:
  - k8s
  script:
    - echo "將內容寫入緩存"
    - echo "build" > vendor/hello.txt

test1:
  stage: test
  script:
    - echo "從緩存讀取內容"
    - cat vendor/hello.txt

1. 提交上述腳本到GitLab，如下圖，可見pipeline會被觸發，狀態為pending是因為正在等待runner創建executor pod：
2. 稍後就會執行成功，點開看結果：
3. 點開build1的圖標，可見此job的輸出信息：
4. 點開test1的圖標，可見對應的控制台輸出，上一個job寫入的數據被成功讀取：

   至此，GitLab Runner已經成功在kubernetes環境部署和運行，接下來的文章，我們會一起實戰將SpringBoot應用構建成docker鏡像並推送到Harbor；

歡迎關注我的公眾號：程序員欣宸

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

※南投搬家公司費用,距離,噸數怎麼算?達人教你簡易估價知識!

※教你寫出一流的銷售文案?

※超省錢租車方案

前言

這两天看了一下ABP，做個簡單的學習記錄。記錄主要有以下內容：

1. 從官網創建並下載項目(.net core 3.x + vue)
2. 項目在本地成功運行
3. 新增實體並映射到數據庫
4. 完成對新增實體的基本增刪改查

ABP官網：https://aspnetboilerplate.com/
Github：https://github.com/aspnetboilerplate

創建項目

進入官網

Get started，選擇前後端技術棧，我這裏就選.net core 3.x和vue。

填寫自己的項目名稱，郵箱，然後點create my project就可以下載項目了。

解壓文件

運行項目

後端項目

首先運行後端項目，打開/aspnet-core/MyProject.sln

改一下MyProject.Web.Host項目下appsettings.json的數據庫連接字符串，如果本地安裝了mssql，用windows身份認證，不改也行

數據庫默認是使用mssql的，當然也可以改其他數據庫。

將MyProject.Web.Host項目設置為啟動項，打開程序包管理器控制台，默認項目選擇DbContext所在的項目，也就是MyProject.EntityFrameworkCore。執行update-database

數據庫已成功創建：

Ctrl+F5，不出意外，瀏覽器就會看到這個界面：

前端項目

後端項目成功運行了，下面運行一下前端項目，先要確保本機有nodejs環境並安裝了vue cli，這個就不介紹了。

/vue目錄下打開cmd執行：npm install

install完成后執行：npm run serve

打開瀏覽器訪問http://localhost:8080/，不出意外的話，會看到這個界面：

使用默認用戶 admin/123qwe 登錄系統：

至此，前後端項目都已成功運行。
那麼基於abp的二次開發該從何下手呢，最簡單的，比如要增加一個數據表，並且完成最基本CRUD該怎麼做？

新增實體

實體類需要放在MyProject.Core項目下，我新建一個MyTest文件夾，並新增一個Simple類，隨意給2個屬性。

我這裏繼承了abp的Entity 類，Entity類有主鍵ID屬性，這個泛型int是指主鍵的類型，不寫默認就是int。abp還有一個比較複雜的FullAuditedEntity類型，繼承FullAuditedEntity的話就有創建時間，修改時間，創建人，修改人，軟刪除等字段。這個看實際情況。

public class Simple : Entity<int>
{
    public string Name { get; set; }

    public string Details { get; set; }
}

修改MyProject.EntityFrameworkCore項目的/EntityFrameworkCore/MyProjectDbContext：

public class MyProjectDbContext : AbpZeroDbContext<Tenant, Role, User, MyProjectDbContext>
{
    /* Define a DbSet for each entity of the application */

    public DbSet<Simple> Simples { get; set; }

    public MyProjectDbContext(DbContextOptions<MyProjectDbContext> options)
        : base(options)
    {
    }

    protected override void OnModelCreating(ModelBuilder modelBuilder)
    {
        base.OnModelCreating(modelBuilder);

        modelBuilder.Entity<Simple>(p =>
        {
            p.ToTable("Simples", "test");
            p.Property(x => x.Name).IsRequired(true).HasMaxLength(20);
            p.Property(x => x.Details).HasMaxLength(100);
        });
    }
}

然後就可以遷移數據庫了，程序包管理器控制台執行：add-migration mytest1，update-database

刷新數據庫，Simples表已生成：

實體的增刪改查

進入MyProject.Application項目，新建一個MyTest文件夾

Dto

CreateSimpleDto，新增Simple數據的傳輸對象，比如ID，創建時間，創建人等字段，就可以省略

public class CreateSimpleDto
{
    public string Name { get; set; }

    public string Details { get; set; }
}

PagedSimpleResultRequestDto，分頁查詢對象

public class PagedSimpleResultRequestDto : PagedResultRequestDto
{
    /// <summary>
    /// 查詢關鍵字
    /// </summary>
    public string Keyword { get; set; }
}

SimpleDto，這裏跟CreateSimpleDto的區別就是繼承了EntityDto，多了個ID屬性

public class SimpleDto : EntityDto<int>
{
    public string Name { get; set; }

    public string Details { get; set; }
}

SimpleProfile，用來定義AutoMapper的映射關係清單

public class SimpleProfile : Profile
{
    public SimpleProfile()
    {
        CreateMap<Simple, SimpleDto>();
        CreateMap<SimpleDto, Simple>();
        CreateMap<CreateSimpleDto, Simple>();
    }
}

Service

注意，類名參考abp的規範去命名。

ISimpleAppService，Simple服務接口。我這裏繼承IAsyncCrudAppService，這個接口中包含了增刪改查的基本定義，非常方便。如果不需要的話，也可以繼承IApplicationService自己定義

public interface ISimpleAppService : IAsyncCrudAppService<SimpleDto, int, PagedSimpleResultRequestDto, CreateSimpleDto, SimpleDto>
{

}

SimpleAppService，Simple服務，繼承包含了增刪改查的AsyncCrudAppService類，如果有需要的話可以override這些增刪改查方法。也可以繼承MyProjectAppServiceBase，自己定義。

public class SimpleAppService : AsyncCrudAppService<Simple, SimpleDto, int, PagedSimpleResultRequestDto, CreateSimpleDto, SimpleDto>, ISimpleAppService
{
    public SimpleAppService(IRepository<Simple, int> repository) : base(repository)
    {

    }

    /// <summary>
    /// 條件過濾
    /// </summary>
    /// <param name="input"></param>
    /// <returns></returns>
    protected override IQueryable<Simple> CreateFilteredQuery(PagedSimpleResultRequestDto input)
    {
        return Repository.GetAll()
            .WhereIf(!input.Keyword.IsNullOrWhiteSpace(), a => a.Name.Contains(input.Keyword));
    }
}

接口測試

重新運行項目，不出意外的話，Swagger中就會多出Simple相關的接口。

• Create

• Get

• GetAll

• Update

• Delete

總結

ABP是一個優秀的框架，基於ABP的二次開發肯定會非常高效，但前提是需要熟練掌握ABP，弄清楚他的設計理念以及他的一些實現原理。

以後有時間的話再深入學習一下。文中如果有不妥之處歡迎指正。

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

※自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

※南投搬家公司費用需注意的眉眉角角，別等搬了再說!

※新北清潔公司,居家、辦公、裝潢細清專業服務

1.前言

回顧：認證授權方案之JwtBearer認證

在上一篇中，我們通過JwtBearer的方式認證，了解在認證時，都是基於Claim的，因此我們可以通過用戶令牌獲取到用戶的Claims，在授權過程中對這些Claims進行驗證，從而來判斷是否具有獲取或執行目標資源操作的權限。本章就來介紹一下 ASP.NET Core 的授權系統的簡單使用。

2.說明

授權與身份認證是相互獨立，但是，授權卻需要一種身份驗證機制，因此，身份驗證可以為當前用戶創建一個或多個標識，是確定用戶真實身份的過程。而授權是根據標識確定用戶可執行的操作的過程，其本質就是具有某種特性的用戶會有權限訪問某個資源或者執行某個操作。例如：一個擁有管理員身份的用戶有創建人員、刪除人員、編輯人員和刪除人員的操作權限，而一個非管理身份的用戶僅有讀取自己信息的權限。

這時候，你可能會問，究竟怎樣特性的用戶可以被授權訪問某個資源或執行某個操作。由此我們引出了授權策略的方式，可以根據用戶擁有的角色，也可以根據用戶的職位，部門甚至是性別，年齡等等特性進行授權。

通過建立授權策略方式，檢驗認證的用戶所攜帶的身份聲明（ClaimsPrincipal對象）與授權策略是否一致，從而確定用戶可否執行操作。

3.授權

3.1. 基於角色

3.1.1 添加角色

將角色賦予某個控制器或控制器內的操作，指定當前用戶必須是其角色才能訪問請求資源。

可以使用Authorize屬性的Roles特性指定所請求資源的角色。

例如：

• 分配了“admin”角色用戶進行訪問操作

[Authorize(Roles ="admin")]
public class WeatherForecastController : ControllerBase
{

}

• 以逗號分隔角色名來允行多個角色訪問操作

[Authorize(Roles ="admin,user")]
public class WeatherForecastController : ControllerBase
{ 


}

其中只要滿足admmin或者user其一就可以進行訪問。

• 同時滿足指定的多個角色進行的訪問操作

[Authorize(Roles = "admin")]
[Authorize(Roles = "user")]
public class WeatherForecastController : ControllerBase
{ 
}

3.1.2 添加策略的角色

可以創建策略的方式進行訪問控制，在配置授權服務中添加註冊授權服務策略。

在Startup.cs文件中，通過ConfigureServices()配置服務,創建一個允許具有admin角色的用戶才能進行訪問的策略

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddControllers();
        //添加授權角色策略
        services.AddAuthorization(options =>
        {
            options.AddPolicy("BaseRole", options => options.RequireRole("admin"));
        });
        //或者指定多個允許的角色
        //services.AddAuthorization(options =>
        // {
        //    options.AddPolicy("MoreBaseRole", options => options.RequireRole("admin","user"));
        // });
    }

在控制器方法使用特性Policy的屬性進行策略應用

    [Authorize(Policy = "BaseRole")]
    public class WeatherForecastController : ControllerBase
    {
    
    }

3.2. 基於聲明

3.2.1添加聲明

對當前用戶必須擁有的聲明，並將聲明賦予某個控制器或控制器內的操作，因此，指定聲明必須持有對應的值才能訪問請求資源。

聲明要求基於策略，所以必須進行構建一個表示聲明要求的策略，才能進行授權。

最簡單的類型聲明是將判斷聲明是否存在，而不檢查值。

可以創建策略的方式進行訪問控制，在配置授權服務中添加註冊授權服務策略。

在Startup.cs文件中，通過ConfigureServices()配置服務,創建一個允許具有聲明的用戶才能進行訪問的策略

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddControllers();
        //添加基於聲明的授權
        services.AddAuthorization(options =>
        {
            options.AddPolicy("BaseClaims", options => options.RequireClaim("name"));
        });
    }

BaseClaims聲明策略會檢查name當前標識是否存在聲明。

在控制器方法使用特性Policy的屬性進行策略應用

    [Authorize(Policy = "BaseClaims")]
    public class WeatherForecastController : ControllerBase
    {
    
    }

但是，大多時候，我們需要聲明包含值，只有指定允許值的列表，才能授權成功。所以，可以添加指定值。

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddControllers();
        //添加基於聲明的授權,指定允許值列表。
        services.AddAuthorization(options =>
        {
            options.AddPolicy("BaseClaims", options => options.RequireClaim("name","i3yuan"));
        });
    }

3.3 基於策略

上面介紹的基於角色和基於聲明的授權，都使用了要求、要求處理程序和預配置的策略。這些在構建上提供了便捷，但是最終都是生成授權策略。ASP.NET Core，設計了另一種靈活的授權方式，一種更豐富的可重複使用的授權結構，基於策略的授權，同時這也是授權的核心。

這節會先講一下授權策略的應用，在下一節中，會對授權策略的核心進行一步步的詳解。

在上面我們簡單的介紹了基於策略的角色授權，但是這種方式無非基於角色或者聲明多一些。

因此，這裏我們基於自定義策略授權的方式，實現授權。

自定義授權，就要我們自己寫策略提供器，自己根據不同的參數來生成不同的策略，重新實現策略的方式。策略要求由以下兩種元素組成：僅保留數據的要求類，以及對用戶驗證數據的授權處理程序。創建自定義要求，還可以進一步表達特定策略。

3.3.1. 定義權限策略PermissionRequirement

定義一個權限策略，這個策略並包含一些屬性。

public class PermissionRequirement: IAuthorizationRequirement
{
    public string _permissionName { get; }

    public PermissionRequirement(string PermissionName)
    {
        _permissionName = PermissionName;
    }
}

3.3.2. 再定義一個策略處理類

public class PermissionRequirementHandler : AuthorizationHandler<PermissionRequirement>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, PermissionRequirement requirement)
    {
        var role = context.User.FindFirst(c => c.Type == ClaimTypes.Role);
        if (role != null)
        {
            var roleValue = role.Value;
            if (roleValue==requirement._permissionName)
            {
                context.Succeed(requirement);
            }
        }
        return Task.CompletedTask;

授權處理程序讀取與角色用戶關聯的聲明，並檢查自定義的角色，如果角色匹則成功，否則無法返回成功。

這裏的自定義聲明是寫固定了，但是也可以通過數據庫或外部服務的方式進行運行查詢獲取用戶相關角色信息相對應的判斷條件，從而在處理程序中進行判斷處理。

授權處理程序調用方法 Succeed，同時傳遞當前要求，以通知此要求已成功得到驗證。如果沒有傳遞要求，處理程序無需執行任何操作，可以直接返回內容。不過，如果處理程序要確定是否不符合要求（無論其他處理程序是否已成功驗證同一要求），將會對授權上下文對象調用方法 Fail。

3.3.3. 下面展示了如何將自定義要求添加到策略

（請注意，由於這是自定義要求，因此沒有擴展方法，而必須繼續處理策略對象的整個 Requirements 集合）：

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddControllers();
        //基於自定義策略授權
        services.AddAuthorization(options =>
        {
            options.AddPolicy("customizePermisson",
              policy => policy
                .Requirements
                .Add(new PermissionRequirement("admin")));
        });
        //此外，還需要在 IAuthorizationHandler 類型的範圍內向 DI 系統註冊新的處理程序：
        services.AddScoped<IAuthorizationHandler, PermissionRequirementHandler>();
        // 如前所述，要求可包含多個處理程序。如果為授權層的同一要求向 DI 系統註冊多個處理程序，有一個成功就足夠了。

    }

3.3.4. 應用自定義的策略的特性

指定當前用戶必須是應用對控制器或控制器內的操作，如

   [Authorize(Policy = "customizePermisson")]
    public class WeatherForecastController : ControllerBase
    { 
    }

4.場景

在上一篇認證授權方案之JwtBearer認證中，我們已經實現了獲取token的方式，這一次，我們實現一個以基於角色場景為例的認證授權。

在原來生成token的方式中，添加多一個聲明角色的Claim，如下：

new Claim(JwtClaimTypes.Role,”admin”)

    [HttpGet]
    public IActionResult GetToken()
    {
        try
        {
            //定義發行人issuer
            string iss = "JWTBearer.Auth";
            //定義受眾人audience
            string aud = "api.auth";
            //定義許多種的聲明Claim,信息存儲部分,Claims的實體一般包含用戶和一些元數據
            IEnumerable<Claim> claims = new Claim[]
            {
                new Claim(JwtClaimTypes.Id,"1"),
                new Claim(JwtClaimTypes.Name,"i3yuan"),
                new Claim(JwtClaimTypes.Role,"admin"),
            };
            //notBefore  生效時間
            // long nbf =new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds();
            var nbf = DateTime.UtcNow;
            //expires   //過期時間
            // long Exp = new DateTimeOffset(DateTime.Now.AddSeconds(1000)).ToUnixTimeSeconds();
            var Exp = DateTime.UtcNow.AddSeconds(1000);
            //signingCredentials  簽名憑證
            string sign = "q2xiARx$4x3TKqBJ"; //SecurityKey 的長度必須 大於等於 16個字符
            var secret = Encoding.UTF8.GetBytes(sign);
            var key = new SymmetricSecurityKey(secret);
            var signcreds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
            //String issuer = default(String), String audience = default(String), IEnumerable<Claim> claims = null, Nullable<DateTime> notBefore = default(Nullable<DateTime>), Nullable<DateTime> expires = default(Nullable<DateTime>), SigningCredentials signingCredentials = null
            var jwt = new JwtSecurityToken(issuer: iss, audience: aud, claims:claims,notBefore:nbf,expires:Exp, signingCredentials: signcreds);
            var JwtHander = new JwtSecurityTokenHandler();
            var token = JwtHander.WriteToken(jwt);
            return Ok(new
            {
                access_token = token,
                token_type = "Bearer",
            });
        }
        catch (Exception ex)
        {
            throw;
        }
    }

對控制器或控制器內的操作，指定當前用戶必須是其角色才能訪問請求資源，如WeatherForecastController.cs

[ApiController]
[Route("[controller]")]
[Authorize(Roles ="admin")]
public class WeatherForecastController : ControllerBase
{ 
    private static readonly string[] Summaries = new[]
    {
        "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
    };

    private readonly ILogger<WeatherForecastController> _logger;

    public WeatherForecastController(ILogger<WeatherForecastController> logger)
    {
        _logger = logger;
    }

    [HttpGet]
    public IEnumerable<WeatherForecast> Get()
    {
        var rng = new Random();
        return Enumerable.Range(1, 5).Select(index => new WeatherForecast
        {
            Date = DateTime.Now.AddDays(index),
            TemperatureC = rng.Next(-20, 55),
            Summary = Summaries[rng.Next(Summaries.Length)]
        })
        .ToArray();
    }
}

5.運行

5.1. 獲取token

分別獲取role為admin和role為user的情況下頒發的token，只有在角色為admin的情況下才能授權通過。

5.2. 授權資源接口訪問

在role為admin的情況下

在role為user的情況下

由上可知，只有在角色為admin的情況下，才能訪問目標資源進行操作。

6.總結

1. 從上一篇的認證到這一篇的授權階段，簡單的介紹了Asp.net Core的認證授權系統，對授權有了初步的認識以及使用，對授權進行劃分為兩種，一種是基於角色的授權，但隨着角色的增加會對處理授權產生限制，不適合表達複雜的授權邏輯。另一種是基於策略的身份驗證，策略包含一系列基於聲明的要求，以及基於可從 HTTP 上下文或外部源注入的其他任何信息的自定義邏輯。這些要求各自與一個或多個處理程序相關聯，這些處理程序負責要求的實際計算。
2. 可以發現，asp.net core提供的授權策略是一個非常強大豐富且靈活的認證授權方案，能夠滿足大部分的授權場景。
3. 如果有不對的或不理解的地方，希望大家可以多多指正，提出問題，一起討論,不斷學習,共同進步。
4. 因此，在後續的篇章中，會繼續探索授權系統，對授權策略的核心進行一步步的詳解。
5. 本示例源碼地址

參考文獻文檔

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※想知道最厲害的網頁設計公司"嚨底家"!

※幫你省時又省力,新北清潔一流服務好口碑

※別再煩惱如何寫文案,掌握八大原則!