使用 JSON 字符串将多个值添加到 1 个用户声明中
本文关键字:用户 声明 添加 JSON 字符串 使用 | 更新日期: 2023-09-27 18:31:30
我在对用户进行身份验证时使用 .net 声明主体。 在我们的系统中,用户具有多个权限(最多可以有 70 个)。
现在,与其在用户发出的每个请求上查询数据库,不如将权限存储为声明。 我试图将每个权限存储为单独的声明,但即使达到 10 个权限也会大大增加令牌的大小。
因此,我想知道如果我将所有权限添加到 1 个权限,而不是为 1 个权限添加 1 个声明,它是否会有所不同,它确实如此。 它使令牌的大小保持较小,但我拥有所需的权限。
现在要做到这一点,我必须将数组中的所有权限转换为 JSON 字符串,然后将它们保存为我的声明。 为了获得声明,我可以将字符串反序列化回数组,而我根本不需要查询数据库。
这样做可以吗,还是这种做法非常糟糕? 我是在制造一个定时炸弹,它很快就会爆炸吗?
此处的示例代码
var identity = new ClaimsIdentity(context.Options.AuthenticationType);
identity.AddClaim(new Claim(ClaimTypes.Name, context.UserName));
// get user permissions
var permissions = await _permissionService.GetAllAsync(user);
// create list of all permissions
List<object> claimPermissions = new List<object>();
foreach (var item in permissions)
{
claimPermissions.Add(new
{
Action = item.Action,
Type = item.Type
});
}
// convert list to json
var json = Newtonsoft.Json.JsonConvert.SerializeObject(claimPermissions);
// add claim
identity.AddClaim(new Claim("Permissions", json));
类中大多数常用的声明类型的标准列表System.Security.Claims.ClaimTypes和我建议你把它们添加为单独的声明。之后,所有剩余的声明都可以添加为用户数据。我不确定为什么您的应用程序最多有 70 个权限?在设计基础结构时,明智的做法是使用最佳实践,即使用基于角色的授权。我让事情变得更容易。请记住,这些是久经考验的方法。Windows Azure Active Directory具有相同的设计,但它可以处理任何身份验证和授权场景。
如果您需要有关如何使用 Json Web 令牌实现此类身份验证机制的更多信息,请参阅我在此处有关该主题的文章。
给定 JWT,以下是检查用户是否具有权限的方法。
private static ClaimsPrincipal ValidateToken(string token, string secret, bool checkExpiration)
{
var jsonSerializer = new JavaScriptSerializer();
var payloadJson = JsonWebToken.Decode(token, secret);
var payloadData = jsonSerializer.Deserialize<Dictionary<string, object>>(payloadJson);
object exp;
if (payloadData != null && (checkExpiration && payloadData.TryGetValue("exp", out exp)))
{
var validTo = FromUnixTime(long.Parse(exp.ToString()));
if (DateTime.Compare(validTo, DateTime.UtcNow) <= 0)
{
throw new Exception(
string.Format("Token is expired. Expiration: '{0}'. Current: '{1}'", validTo, DateTime.UtcNow));
}
}
var subject = new ClaimsIdentity("Federation", ClaimTypes.Name, ClaimTypes.Role);
var claims = new List<Claim>();
if (payloadData != null)
foreach (var pair in payloadData)
{
var claimType = pair.Key;
var source = pair.Value as ArrayList;
if (source != null)
{
claims.AddRange(from object item in source
select new Claim(claimType, item.ToString(), ClaimValueTypes.String));
continue;
}
switch (pair.Key)
{
case "name":
claims.Add(new Claim(ClaimTypes.Name, pair.Value.ToString(), ClaimValueTypes.String));
break;
case "surname":
claims.Add(new Claim(ClaimTypes.Surname, pair.Value.ToString(), ClaimValueTypes.String));
break;
case "email":
claims.Add(new Claim(ClaimTypes.Email, pair.Value.ToString(), ClaimValueTypes.Email));
break;
case "role":
claims.Add(new Claim(ClaimTypes.Role, pair.Value.ToString(), ClaimValueTypes.String));
break;
case "userId":
claims.Add(new Claim(ClaimTypes.UserData, pair.Value.ToString(), ClaimValueTypes.Integer));
break;
default:
claims.Add(new Claim(claimType, pair.Value.ToString(), ClaimValueTypes.String));
break;
}
}
subject.AddClaims(claims);
return new ClaimsPrincipal(subject);
}
我希望这有帮助
谢谢
斯图尔特