注册
登录
区块链扩展技术
在asp.net核心中找不到用户的授权属性
返回
在asp.net核心中找不到用户的授权属性
作者:
NetworkAttachedStorage
发布时间:
2024-12-31 06:54:44 (1月前)
转自:
<p> <br/> 我只想向用户授权我的行为</p><p>[授权(用户=“anupam,ashwin”)]<br/>public ActionResult AddArticle()<br/>{<br/> return View();<br/>}<br/>参考这里</p><p>但我只发现角色……<br/> <br/></p>
收藏
举报
2 条回复
0#
回复此人
那月静好
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您引用的文章是ASP.NET MVC,而不是ASP.NET Core。一般来说,你应该忽略那里的任何东西,因为它不再适用。 </p> <P> 似乎ASP.NET Core删除了对指定的支持 <code> Users </code> 在 <code> AuthorizeAttribute </code> (但是,坦率地说,我并不知道ASP.NET MVC首先拥有它)。但是,可以通过策略模仿此功能: </p> <pre> <code> services.AddPolicy("MustBeJoeOrBob", p => p.RequireAssertion(c => new[] { "Joe", "Bob" }.Contains(c.User.Identity.Name))); </code> </pre> <P> 然后: </p> <pre> <code> [Authorize(Policy = "MustBeJoeOrBob")] </code> </pre> <P> 但是,如果不清楚,这需要相当多的硬编码,并且您需要为每个不同的用户组制定单独的策略。例如,如果Joe和Mary只能访问其他操作,但是 <EM> 不 </EM> 鲍勃,那么你也需要添加一个“MustBeJoeOrMary”政策。这可能会很快变得乏味。 </p> <P> 从技术上讲,有一种方法可以让一个策略处理任何给定的用户列表,但实现并非易事。你基本上必须创建自定义 <code> AuthorizeAttribute </code> ,然后允许您传递不同类型的数据。但是,实际授权仍然需要基于策略,因此您基本上只是将传入的值映射到具有标准前缀的自定义策略名称。例如: </p> <pre> <code> public class UsersAuthorizeAttribute : AuthorizeAttribute { private const string PolicyPrefix = "MustBeUsers" public UsersAuthorizeAttribute(string users) { Users = users; } public string Users { get => Policy.Substring(PolicyPrefix.Length); set => $"{PolicyPrefix}{value}"; } } </code> </pre> <P> 然后,您可以应用以下属性: </p> <pre> <code> [UsersAuthorize("Joe,Bob")] </code> </pre> <P> 这有效地做了同样的事情: </p> <pre> <code> [Authorize(Policy = "MustBeUsersJoe,Bob")] </code> </pre> <P> 换句话说,它只是创建“动态”策略名称的简便方法。但是,您现在需要一个策略处理程序,因此您可以回到为每个可能的用户组合创建一个策略处理程序,或者您必须创建自定义策略提供程序。然后,该策略提供者可以只查看前缀“MustBeUsers”,并使用类似的东西 <code> MustBeUsersAuthorizationHandler </code> 为了满足策略,将其余的策略名称(即实际的用户名)传递给处理程序,以便对其进行评估。但是,ASP.NET Core只使用一个策略提供程序,因此一旦您进入自定义策略提供程序,您还需要确保它还支持其他策略,或者至少在内部将策略处理委派给默认提供程序。 <a href="https://docs.microsoft.com/en-us/aspnet/core/security/authorization/iauthorizationpolicyprovider?view=aspnetcore-2.2" rel="nofollow noreferrer"> 文档更详细 </A> ,但足以说,你可以开始快速进入杂草。 </p> <P> 老实说,这整个方法感觉就像一个巨大的黑客,我真的很惊讶,文档实际上描述了如何实现它的细节。如果你 <EM> 真 </EM> 需要这样的东西,它可能有意义,但在你的场景中,我认为你错过了一个至关重要的事情:你可以只使用角色。 </p> <P> 如果您只希望Joe和Bob能够访问特定操作,那么只需创建一个角色并将其分配给该角色即可。然后指定该角色: </p> <pre> <code> [Authorize(Roles = "JoeAndBobsRole")] </code> </pre> <P> 这就是角色的用途,您实际上是试图以不同的方式支持并实现相同的功能。说实话,这可能就是原因 <code> Users </code> 在ASP.NET Core中首先不作为选项存在。 </p> </DIV>
编辑
登录
后才能参与评论
