注册
登录
区块链扩展技术
如何在ASP.NET Core中创建自定义AuthorizeAttribute?
返回
如何在ASP.NET Core中创建自定义AuthorizeAttribute?
作者:
明月清风上善若水自由如风
发布时间:
2024-11-30 11:43:40 (3月前)
转自:
<div class =“excerpt”> 我正在尝试制作一个习惯 <span class =“result-highlight”> 授权 </跨度> ASP.NET Core中的属性。在以前的版本中,可以覆盖bool AuthorizeCore(HttpContextBase httpContext)。但是这在AuthorizeAttribute中不再存在。 制作自定义AuthorizeAttribute的当前方法是什么? 我想要完成的任务:我在Header中收到一个会话ID <span class =“result-highlight”> 授权 </跨度> 。从该ID我将知道特定动作是否有效。 锟斤拷 </DIV>
收藏
举报
3 条回复
0#
回复此人
仙风道骨刘憨憨
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我是asp.net安全人员。 <S> 首先让我道歉,在音乐商店样本或单元测试之外,这些都没有被记录,并且它们仍然在暴露的API方面得到了改进。 </S> 详细的文档是 <a href="https://docs.microsoft.com/en-us/aspnet/core/security/authorization/" rel="noreferrer"> 这里 </A> 。 </p> <P> 我们不希望您编写自定义授权属性。如果你需要这样做我们做错了什么。相反,你应该写授权 <EM> 要求 </EM> 。 </p> <P> 授权作用于身份。身份通过身份验证创建。 </p> <P> 您在评论中说要检查标题中的会话ID。您的会话ID将成为身份的基础。如果你想使用 <code> Authorize </code> 您要编写一个身份验证中间件来获取该标头并将其转换为经过身份验证的属性 <code> ClaimsPrincipal </code> 。然后,您将在授权要求中检查该内容。授权要求可以像您一样复杂,例如,这是一个对当前身份提出出生日期索赔的要求,并且如果用户超过18岁则会授权; </p> <pre> <code> public class Over18Requirement : AuthorizationHandler<Over18Requirement>, IAuthorizationRequirement { public override void Handle(AuthorizationHandlerContext context, Over18Requirement requirement) { if (!context.User.HasClaim(c => c.Type == ClaimTypes.DateOfBirth)) { context.Fail(); return; } var dateOfBirth = Convert.ToDateTime(context.User.FindFirst(c => c.Type == ClaimTypes.DateOfBirth).Value); int age = DateTime.Today.Year - dateOfBirth.Year; if (dateOfBirth > DateTime.Today.AddYears(-age)) { age--; } if (age >= 18) { context.Succeed(requirement); } else { context.Fail(); } } } } </code> </pre> <P> 然后在你的 <code> ConfigureServices() </code> 功能你把它连接起来 </p> <pre> <code> services.AddAuthorization(options => { options.AddPolicy("Over18", policy => policy.Requirements.Add(new Authorization.Over18Requirement())); }); </code> </pre> <P> 最后将其应用于控制器或操作方法 </p> <pre> <code> [Authorize(Policy = "Over18")] </code> </pre> </DIV>
编辑
1#
回复此人
無口君
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 基于Derek Greer 的<strong> 大 </强> 回答,我用枚举做了。 </p> <P> 这是我的代码示例: </p> <pre> <code> public enum PermissionItem { User, Product, Contact, Review, Client } public enum PermissionAction { Read, Create, } public class AuthorizeAttribute : TypeFilterAttribute { public AuthorizeAttribute(PermissionItem item, PermissionAction action) : base(typeof(AuthorizeActionFilter)) { Arguments = new object[] { item, action }; } } public class AuthorizeActionFilter : IAuthorizationFilter { private readonly PermissionItem _item; private readonly PermissionAction _action; public AuthorizeActionFilter(PermissionItem item, PermissionAction action) { _item = item; _action = action; } public void OnAuthorization(AuthorizationFilterContext context) { bool isAuthorized = MumboJumboFunction(context.HttpContext.User, _item, _action); // :) if (!isAuthorized) { context.Result = new ForbidResult(); } } } public class UserController : BaseController { private readonly DbContext _context; public UserController( DbContext context) : base() { _logger = logger; } [Authorize(PermissionItem.User, PermissionAction.Read)] public async Task<IActionResult> Index() { return View(await _context.User.ToListAsync()); } } </code> </pre> </DIV>
编辑
登录
后才能参与评论
