ASP.NET Core-授权-自定义策略
认识 ASP.NET Core / 验证(Autentication) 理解Core自定义身份认证与授权
一 、什么是基于策略的授权
基于策略的授权是 ASP.NET Core 中引入的一种新的授权方法。一个授权策略由一个或者多个 requirement 构成。
二 、添加策略
在 Startup 中添加策略:
services.AddAuthorization(options =>
{
// 自定义策略授权
options.AddPolicy("AdminRequirement", policy => policy.Requirements.Add(new CustomRequirement("管理员")));
});
上面的代码添加了一个名称为 MyRequirement 的策略。其中的策略添加了一个requirement(CustomRequirement)。第一个参数,指定了策略的名称。策略是用来使用授权的时候引用的,而 CustomRequirement 则是需要我们自定义的一个 requirement。
三、定义 requirement
requirement,翻译过来就是要求的意思。也就是策略授权的权限判定。这个类并不实现具体的授权代码,只是定义一个继承自接口 IAuthorizationRequirement 的类,在这个类中,我们可以定义一些属性,也可以什么属性都没有。下面的类定义了一个属性,那么我们在注册授权服务的时候就可以初始化其中的属性。
using Microsoft.AspNetCore.Authorization;
public class CustomRequirement : IAuthorizationRequirement
{
public string Role { get; set; }
public CustomRequirement(string role){
Role = role;
}
}
四、定义 AuthorizationHandler
这个类的作用就是实现具体的授权代码,继承自 AuthorizationHandler,其中有一个泛型参数,也就是需要传入我们上面定义的 requirement。我们需要实现方法 HandleRequirementAsync 实现具体的授权代码
具体如下:
using System.Threading.Tasks;
using System;
using System.Security.Claims;
using Microsoft.AspNetCore.Authorization;
public class CustomHandler : AuthorizationHandler<CustomRequirement>
{
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomRequirement requirement)
{
var isAuthenticated = context.User.Identity.IsAuthenticated;
if (isAuthenticated)
{
var userRole = Convert.ToString(context.User.FindFirst(c => c.Type == ClaimTypes.Role).Value);
if (userRole == requirement.Role) // 满足一些条件
{
context.Succeed(requirement);
}
}
return Task.CompletedTask;
}
}
在 CustomHandler 中,我们可以获取到用户的认证状态。可以判断当前用户的角色是否满足我们添加的 requirement 中的角色。也就是具体的权限判定。
五、如何使用
策略的使用也非常简单,如果应用到控制器,则如下即可:
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
[Authorize(Policy = "AdminRequirement")]
public class ExpressController : Controller
{
public IActionResult Index() => View();
}
如果当前用户角色不是管理员,则没有权限访问该控制器。
至此,我们就实现了简单的基于策略的授权,更多关于策略授权的详细用法参考 Policy-based authorization in ASP.NET Core | Microsoft Docs
