我是身份API的新手,但在我的Web应用程序中:机构用户为自己的机构创建其他用户,他们想决定谁可以看到此页面。我的控制器方法像这样;
[Authorize]
public IActionResult Privacy()
{
return View();
}
但用户也有权执行任何此类枚举和枚举大于 50 的操作;
public enum PermissionTypes
{
UserCreate = 1,
UserEdit = 2,
UserDelete = 3,
....
}
我做了一些研究,发现了基于策略的授权,但是当您创建新策略时,您必须在启动时声明.cs这对我不利,因为当您这样做时,您总是在生产中发布新代码。我需要的是这样的东西;
[CustomAuth(PermissionTypes.UserCreate)]
public IActionResult Privacy()
{
return View();
}
这种情况有什么解决方案吗?
有很多方法可以做到这一点。 很多人推荐基于声明和策略的安全性...我个人觉得这种方法有点"僵硬"。
因此,我这样做有点不同:
首先创建一个这样的类:
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Authorization.Infrastructure;
using Microsoft.AspNetCore.Identity;
using System.Linq;
using System.Security.Claims;
using System.Threading.Tasks;
namespace Bamboo.Web.CoreWebsite.Membership
{
public class PermissionHandler : AuthorizationHandler<RolesAuthorizationRequirement>
{
private readonly IUserStore<CustomUser> _userStore;
public PermissionHandler(IUserStore<CustomeUser> userStore)
{
_userStore = userStore;
}
protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, RolesAuthorizationRequirement requirement)
{
if(context == null || context.User == null)
return;
var userId = context.User.FindFirst(c => string.CompareOrdinal(c.Type, ClaimTypes.NameIdentifier) == 0);//according to msdn this method returns null if not found
if(userId == null)
return;
// for simplicity, I use only one role at a time in the attribute
//but you can use multiple values
var permissions = requirement.AllowedRoles.ToList();
var hasPermissions = //here is your logic to check the database for the actual permissions for this user.
// hasPermissions is just a boolean which is the result of your logic....
if(hasPermissions)
context.Succeed(requirement);//the user met your custom criteria
else
context.Fail();//the user lacks permissions.
}
}
}
现在在启动.cs文件中注入权限处理程序,如下所示:
public void ConfigureServices(IServiceCollection services)
{
// Custom Identity Services
........
// custom role checks, to check the roles in DB
services.AddScoped<IAuthorizationHandler, PermissionHandler>();
//the rest of your injection logic omitted for brevity.......
}
现在在你的操作中使用它,如下所示:
[Authorize(Roles = PermissionTypes.UserCreate)]
public IActionResult Privacy()
{
return View();
}
请注意,我没有创建自定义属性...就像我说的,有很多方法可以做到这一点。 我更喜欢这种方式,因为代码更少,没有硬编码的策略或声明或任何其他复杂性,您可以使其 100% 数据驱动。
这是一个复杂的主题,因此可能需要进行额外的调整才能使其工作。
我也使用 ASP.NET Core 2.2,它可能与 3.0 不同。
但它应该为您提供一种执行基于权限的授权的方法。
您需要在操作中使用角色。
ASP .NET 核心标识角色