Question

将Blazor Web-Assembly Web应用程序与asp.net服务器一起使用，我想过滤用户可以看到/更改/使用的表单/输入内容。即匿名或没有权限的登录用户可能无法查看或修改选择表单（组合框）。该页面显示有关特定区域的信息（同一页面用于不同区域，但使用url中的输入指定区域）。如果用户没有特权，则仅应允许基本视图。如果用户来自该区域（区域声明值）并且具有“提升”角色，则会显示更高级的视图。如果我要检查的是用户角色（例如“ Admin”），它就可以正常工作：

<AuthorizeView Roles="Admin">
    <Authorized>
        <div class="input-group">
            <div class="input-group-prepend">
                <span class="input-group-text">Secret choise:</span>
            </div>
            <select @bind="Choise">
                <option value=A>A</option>
                <option value=B>B</option>
            </select>
        </div>
    </Authorized>
</AuthorizeView>

但是与可变值相比，Role和“ area”声明的组合似乎需要更多代码... 使用razor.cs代码调用服务器：

private async Task CheckUserViewPriveligesViaServer()
{
    var authState = await AuthenticationStateProvider.GetAuthenticationStateAsync();
    var user = authState.User;

    if (user.Identity.IsAuthenticated)
    {
        var claims = user.Claims;
        var userID = user.FindFirst(c => c.Type == "sub")?.Value;
        UserSiteDTO userSiteDTO = new UserArea() { AreaID = _area.ID, UserID = userID };
        try
        {
            var canUserViewSensitiveInformation = await UsersReposotory.IsUserElevatedAndFromArea(userSiteDTO); // calls asp.net server
            if (canUserViewSensitiveInformation)
            {
                _viewPriveliges = ViewPriveliges.AreaAdmin;
            }
            else
            {
                _viewPriveliges = ViewPriveliges.None;
            }
        }
        catch (Exception)
        {

            _viewPriveliges = ViewPriveliges.None;
            Console.WriteLine("Unable to get user priveliges");
        }
    }
    else
    {
        _viewPriveliges = ViewPriveliges.None;
    }
}

并在服务器上：

[HttpPost("isUserElevatedAndFromArea")]
public async Task<ActionResult<bool>> IsUserElevatedAndFromArea(UserSiteDTO userDTO)
{
    if (string.IsNullOrWhiteSpace(userDTO.AreaID) 
        || string.IsNullOrWhiteSpace(userDTO.UserID))
    {
        return false;
    }
    var user = await _userManager.FindByIdAsync(userDTO.UserID);
    var claims = await _userManager.GetClaimsAsync(user);
    var areaOk = false;
    var adminOk = false;
    foreach (var c in claims)
    {
        if (c.Type == "AreaID")
        {
            if (!string.IsNullOrWhiteSpace(c.Value) && c.Value == userDTO.AreaID )
            {
                areaOk = true;
            }
        }
        if (c.Type == "AreaAdmin")
        {
            if (!string.IsNullOrWhiteSpace(c.Value) || c.Value == "Yes")
            {
                adminOk = true;
            }
        }
    }
    return areaOk && adminOk;
}

在剃刀代码中加上if语句：

@if (_viewPriveliges == ViewPriveliges.AreaAdmin)
{
    <div class="input-group">
        <div class="input-group-prepend">
            <span class="input-group-text">Secret choise:</span>
        </div>
        <select @bind="Choise">
            <option value=A>A</option>
            <option value=B>B</option>
        </select>
    </div>
}

另一种选择是将服务器代码“烘焙”到razor.cs代码中，以在webassembly中运行检查。

所以，我的问题是，在页面的代码（浏览器中的Webassembly）中检查此信息是否安全，还是应该通过http get / post调用服务器来完成？？

Answer 1

在浏览器中不安全。浏览器应仅查看客户端具有的特权。另外，客户端的硬件确实是未知的，因此对数据进行排序和过滤的性能令人怀疑。

Answer 2

尝试使用此内置组件-授权视图：

<AuthorizeView>
    <Authorized>
        <h1>Hello, @context.User.Identity.Name!</h1>
        <p>You can only see this content if you're authenticated.</p>
    </Authorized>
    <NotAuthorized>
        <h1>Authentication Failure!</h1>
        <p>You're not signed in.</p>
    </NotAuthorized>
</AuthorizeView>

但是正如@Brian Parker所指出的那样，这仅是方便。由于您是客户端，因此实际上没有安全性之类的东西，因为可以绕过所有安全措施。换句话说，您需要确保API中已采取了安全措施，因此不会将不安全的数据传递给客户端。

Blazor wasm-在哪里检查用户权限

2 个答案: