ASP.Net Core 2.1中的自定義授權篩選器與策略
[英]Custom Authorization Filter vs Policy in ASP.Net Core 2.1
問題描述
我正在設計一個新的ASP.Net CORE 2.1 WebAPI,並且試圖找出實現適合我們需求的授權系統的最佳方法。 我們的角色和權限是數據庫驅動的,可以混合和匹配基於角色的權限和單個資源權限。 因此,對於給定的端點,默認訪問權限可能是基於角色的(例如,僅針對Admin),但是管理員也可以為單個用戶分配對該端點的訪問權限(或相反的權限;並撤消對該角色否則授予的特定資源的訪問權限)。 結果,每個端點授權都需要一個數據庫查詢來確定對該資源的有效訪問。 在我看來,這里需要自定義授權過濾器,但是許多MS文檔和其他資源會推送基於策略的身份驗證,並建議不要“自行滾動”。 我看不到基於策略的解決方案在這里如何工作,因為它基於靜態策略聲明。 是否可以通過政策滿足我們的需求,或者自定義身份驗證過濾器是可行的方式?
1 個解決方案
解決方案1
0 2018-08-30 13:43:07
策略身份驗證是必經之路。 是的,它可能基於某種“靜態”策略,即,多個操作/控制器最終可能會使用類似[Authorize(Policy = "MyPolicy")] ,但是策略本身不是靜態的。 您可以在策略處理程序中定義任意數量的條件。 您也可以混合搭配。 因此,如果說某事僅對“ Foo”角色可用,但是您還需要由“ Bar”策略定義的對象級別權限,則您肯定會做類似[Authorize(Roles = "Foo", Policy = "Bar")] 。
在ASP.NET Core 2.1中使用基於策略的授權檢查其他特權
[英]Checking for additional privileges with policy based authorization in ASP.NET Core 2.1
asp.net核心-將幾個參數傳遞給自定義授權策略提供程序
[英]asp.net core - pass several parameters to custom authorization policy provider
如何訪問 ASP.NET Core 2 使用 AuthorizationHandlerContext 的自定義基於策略的授權中的當前 HttpContext
[英]How to access current HttpContext in ASP.NET Core 2 Custom Policy-Based Authorization with AuthorizationHandlerContext
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Asp.net core 2.1 web api中的自定義授權
基於ASP.NET核心自定義策略的授權 - 不清楚
在ASP.NET Core 2.1中使用基於策略的授權檢查其他特權
覆蓋 ASP.NET Core 3 中的授權策略
自定義授權過濾器在 ASP.NET Core 3 中不起作用
記錄Polly等待和重試策略ASP.NET CORE 2.1
asp.net核心-將幾個參數傳遞給自定義授權策略提供程序
如何訪問 ASP.NET Core 2 使用 AuthorizationHandlerContext 的自定義基於策略的授權中的當前 HttpContext
自定義授權屬性asp.net core
ASP.NET Core MVC中的自定義授權
相關標簽