堆棧內存溢出
  簡體   English   中英

.NET Core Web API中基於角色的讀/寫訪問

[英]Role-based read/write access in .NET Core Web API

 原文  2018-03-26 08:54:04       asp.net-core/ authorization/ asp.net-core-webapi

問題描述

我想創建這種訪問的平淡無奇的方式,在這種情況下,權利下降了:

已驗證 :只能發出GET請求。
帶有角色“雇員”的自動鍍膜 :還具有對一個特定控制器的寫訪問權限。
帶有角色“ admin”的授權 :在每個控制器上都有讀/寫功能。

到目前為止,我僅遇到自定義策略需要某些角色的解決方案。 然后通過以下方法將此策略應用於控制器: [Authorize(Roles = "Role")] 此解決方案的問題是,即使我全局需要管理員角色,我也必須向所有HttpGet操作添加“只讀”策略。

我想消除有人忘記或不小心刪除控制器上的[Authorize]屬性的可能性。

我正在尋找一種解決方案,其中全局設置的策略將允許我根據角色和http動詞來限制訪問。 類似於我們在設置CORS時所做的,下面的偽代碼: 

var getPolicy = new RoleBasedPolicyBuilder()
    .AnyRole().AllowHttpMethod("GET");

var employeePolicy = new RoleBasedPolicyBuilder()
    .Role("employee").AllowController(EmployeeController);

var writePolicy = new RoleBasedPolicyBuilder()
    .Role("admin").AllowAnyHttpMethod();

o.Filters.Add(new AuthorizeFilter(getPolicy));
o.Filters.Add(new AuthorizeFilter(employeePolicy));
o.Filters.Add(new AuthorizeFilter(writePolicy));

1 個解決方案

解決方案1
 0 已采納  2018-03-26 09:04:57

編輯:

如果您甚至具有讀取訪問權的角色,第一個解決方案將起作用。 通過查看文檔,我只能弄清的其他解決方案是實現IAsyncAuthorizationFilter接口。 

public class TestAuthorizeHandler : IAsyncAuthorizationFilter
{
    private readonly string[] methodsThatDoNotRequireSpecialRoles =
    {
        "OPTIONS",
        "HEAD",
        "GET",
    };

    private const string PostMethod = "POST";

    public Task OnAuthorizationAsync(AuthorizationFilterContext context)
    {
        // we don't need users to be authenticated for routes that contain this filter
        if (context.Filters.Any(filter => filter is IAllowAnonymousFilter))
        {
            return Task.CompletedTask;
        }

        var requestMethod = context.HttpContext.Request.Method;

        // we don't want to check authorization for the given methods
        if (methodsThatDoNotRequireSpecialRoles.Any(method => method == requestMethod))
        {
            return Task.CompletedTask;
        }

        if (requestMethod == TestAuthorizeHandler.PostMethod && context.HttpContext.User.IsInRole("MyWriteMethodRoles"))
        {
            return Task.CompletedTask;
        }

        context.Result = new ForbidResult();
        return Task.CompletedTask;
    }
}

現在在您的ConfigureServices(...)函數中添加一個mvc過濾器 

public void ConfigureServices(IServiceCollection services)
{
   services.AddMvc(options => {
      options.Filters.Add(new AuthorizeFilter(new AuthorizationPolicyBuilder()
                    .RequireAuthenticatedUser()
                    .Build()));
      options.Filters.Add(typeof(TestAuthorizeHandler));
   }
}

另請參閱https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/policies,以了解可能可行的更多方案。

先前的建議:

添加一個全局過濾器,該過濾器要求在您的ConfigureService(...)函數中對用戶進行授權 

public void ConfigureServices(IServiceCollection services)
{
   services.AddMvc(options => {
      options.Filters.Add(new AuthorizeFilter(new AuthorizationPolicyBuilder()
.AddRequirements(new RolesAuthorizationRequirement(new []{ "role1", "role2"}))
                    .RequireAuthenticatedUser()
                    .Build()));
   });
}

現在,每個控制器路徑都需要使用您的一個角色進行授權。 如果您需要某些端點具有特定角色,則仍然需要進行設置。 如果您不希望在某些路由中使用,則只需將[AllowAnonymous]添加到控制器或特定的端點函數中。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 有沒有辦法在 ASP.NET Core Web API 中添加基於角色的身份驗證? ASP.NET Core 2.1 身份:基於角色的授權 -> 拒絕訪問 使用 ASP.NET Core 5.0 進行基於角色的授權 基於角色的身份驗證ASP.NET Core blazor web 程序集中基於角色的授權 身份服務器 4 中基於角色的授權與 .Net 核心 Web API 使用 Windows 身份驗證對 ASP.NET Core 基於角色的授權進行故障排除 ASP.NET 核心 WebApi Jwt 基於角色的授權不起作用 在 ASP.NET Core 中使用基於角色的身份驗證是否可以使用 Ajax? 基於角色的授權在 Asp.Net Core 2.1 中不起作用
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM