我正在编写一个。net核心API,我的API本身没有任何身份验证或授权逻辑。身份验证和授权由一个单独的系统处理,因此为了保护我的端点,我需要将每个传入请求转发到外部系统,并根据从外部系统返回的值确定用户是否经过身份验证。
我想知道实现这样的东西的最佳方法是什么,因为我认为它可以通过CustomAuthorize属性或middleware或添加CustomAuthPolicy来完成。Auth和。net core中有很多零碎的东西,如果有人能指引我正确的方向,我将非常感激。
这是我目前使用的解决方案:
这个解决方案非常有效,如果您在引用的项目中有以下内容,它可以很容易地被重用。
创建自定义属性:
[AttributeUsage(AttributeTargets.All, AllowMultiple = false)]
public class MyAuthAttr : ActionFilterAttribute
{
//Add Auth logic here using HttpClient or whatever you use to authenticate.
//You can access your headers through actionContext.HttpContext.Request.Headers
//When completed with your logic, you can continue your controller execution
base.OnActionExecuting(actionContext);
}
这个属性可以像这样应用到你的控制器:
[MyAuthAttr]
public class MySecureControllerController {...}
这可以作为全局认证应用到控制器的类中,也可以作为特定认证应用到控制器中的任何端点。
所以这个也可以:
[Route("Do")]
[MyAuthAttr]
public IActionResult DoThaThing(Foo foo) {...}