ASP.NET Core - 向用户添加角色声明

Question

我有一个使用 Windows 身份验证的 ASP.NET Core（基于 .NET Framework）。 重点是，我需要为该用户添加一个角色声明，并且该角色存储在远程数据库中。

我读了很多关于 OWIN/Cookie/UserManager/UserStore/Identity 的东西，我迷路了。

问题：如何以最简单的方式为整个应用程序的当前登录用户（Windows）添加角色声明？

我需要的是轻松使用[Authorize(Role= "MyAddedRole")]或bool res = User.IsInRole("MyAddedRole")

谢谢

Answer 1

回答自己，所以我做了什么：

创建我自己的 UserClaimStore（我只需要这个商店，不需要其他商店）：

public class MyIdentityStore :
    IUserClaimStore<IdentityUser>
{
    private MyDbContext _myDbContext;
    private bool _disposed = false; 

    public MyIdentityStore(MyDbContext myDbContext)
    {
        _myDbContext = myDbContext;
    }

    #region IUserClaimStore
    public Task<IList<Claim>> GetClaimsAsync(IdentityUser user, CancellationToken cancellationToken)
    {
        // logic here to retrieve claims from my own database using _myDbContext
    }

    // All other methods from interface throwing System.NotSupportedException.
    #endregion

    #region IDisposable Support

    protected virtual void Dispose(bool disposing)
    { /* do cleanup */ }
    #endregion
}

然后创建了我自己的 ClaimTransformer ：

public class MyClaimsTransformer : IClaimsTransformer
{
    private UserManager<IdentityUser> _userManager;

    public MyClaimsTransformer(UserManager<IdentityUser> userManager)
    {
        _userManager = userManager;
    }

    public async Task<ClaimsPrincipal> TransformAsync(ClaimsTransformationContext context)
    {
        var identity = ((ClaimsIdentity)context.Principal.Identity);

        // Accessing the UserClaimStore described above
        var claims = await _userManager.GetClaimsAsync(new IdentityUser(identity.Name));
        identity.AddClaims(claims);

        return await Task.FromResult(context.Principal);
    }
}

最后，在 Startup.cs 中：

    public void ConfigureServices(IServiceCollection services)
    {
        /* All other stuff here */ 

        // Adding Database connection
        services.AddDbContext<MyDbContext>(o => /* my options */);

        // Associates our database and store to identity
        services.AddIdentity<IdentityUser, IdentityRole>()
            .AddEntityFrameworkStores<MyDbContext>()
            .AddUserStore<MyIdentityStore>();

        // Claims transformation from database to claims
        services.AddTransient<IClaimsTransformer, MyClaimsTransformer>();
    }


    public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
    {
        /* All other stuff here */ 

        app.UseIdentity();

        app.UseClaimsTransformation(async (context) =>
        { // Retrieve user claims from database
            IClaimsTransformer transformer = context.Context.RequestServices.GetRequiredService<IClaimsTransformer>();
            return await transformer.TransformAsync(context);
        });
    }

现在我可以自由使用[Authorize(Roles = "MyRole")]或User.IsInRole("MyRole")甚至User.HasClaim(/* */) ！

Answer 2

除了答案之外，我刚刚找到了在 asp .net core 中完全预定义的答案。 当您添加声明时：

var claims = new List<Claim>
{
    new Claim(ClaimTypes.Name, UserName),
    new Claim(ClaimTypes.Role, "User"),
    new Claim(ClaimTypes.Role, "Admin"),
    new Claim(ClaimTypes.Role, Watever)
};

之后，您可以按如下方式使用它：

[Authorize(Roles = "Watever")]

或

User.IsInRole("Watever")

Answer 3

您正在谈论的User对象有多个Identities ，它们都可以有多个Claims 。

向 User 对象添加自定义声明的一种方法是编辑由您选择的身份验证/授权框架（例如 OAuth）自动创建的身份，显然，该步骤特定于每个框架。 归根结底是阅读该框架的文档以找出正在创建身份的时间点，并使用您的自定义代码添加新声明来扩展该时间点。

另一种可能更简单的方法是使用AddIdentity() 方法创建一个新的 Identity 对象（其中包含所有附加声明）并将其添加到身份的用户列表中。

当您访问User.Claims ，该枚举将返回您在 User 对象上拥有的所有身份的所有声明。

因此，无论您在应用程序代码中的哪个位置（我认为最合适的点是某种中间件），您都可以执行以下操作：

var myIdentity = new ClaimsIdentity(new []
{
    new Claim("claim type", "claim value"), 
    new Claim("claim type", "claim value"), 
    new Claim("claim type", "claim value"), 
});

context.User.AddIdentity(myIdentity);

从那时起，对User.Claims每次调用User.Claims将返回对 User 对象的所有原始声明以及您的其他声明。