如何創建屬性以檢查用戶是否對Identity Core 2.2擁有所有權?
[英]How can I create attribute to check if the user has a claim with Identity core 2.2?
問題描述
我在ASP.NET Core 2.2框架的頂部有一個用C#編寫的應用程序。
我希望能夠在允許用戶訪問該操作之前檢查用戶是否有索賠。
我創建了一個AuthorizationHandler來檢查用戶是否有這樣的聲明
public class ClaimExistanceHandler : AuthorizationHandler<MustHaveClaimRequirement>
{
protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, MustHaveClaimRequirement requirement)
{
if (context == null
|| context.User == null
|| context.User.Identity == null
|| !context.User.Identity.IsAuthenticated
|| requirement == null
|| string.IsNullOrWhiteSpace(requirement.Type)
|| context.User.HasClaim(requirement.Type, requirement.Value))
{
context.Fail();
}
else
{
context.Succeed(requirement);
}
await Task.Yield();
}
}
}
那么要求如下
public class MustHaveClaimRequirement : IAuthorizationRequirement
{
public string Type { get; set; }
public string Value { get; set; }
public MustHaveClaimRequirement(string type, string value)
{
Type = type;
Value = value;
}
}
但是,我怎樣才能將此要求稱為屬性? 例如HasPermission("do something", "1")
似乎我的HasPermission類需要實現AuthorizeAttribute但不確定如何從該屬性調用處理程序。
3 個解決方案
解決方案1
2 已采納 2019-06-16 21:20:37
您的主要目標是將需求納入策略中 ,然后使用或創建可以使用字符串名稱指定該策略的屬性。 完成此操作后,無需擔心自己調用處理程序,因為ASP.NET Core會為您解決這一問題。
創建策略的最簡單方法是在應用啟動時執行此操作,如此處所述 。 創建策略,然后使用AuthorizeAttribute指定要附加到每個端點的策略。
但是,以這種方式進行操作需要您預先定義所有策略。 如果那將導致您需要創建大量不同的策略(因為您將要檢查許多不同的索賠類型),而您真正想要的是能夠擁有一個指定索賠信息的屬性,更動態的方式:請參見此處 。 您需要創建一個AuthorizeAttribute實現,該實現將參數值(名稱和類型) IAuthorizationPolicyProvider到字符串中,並創建並注冊一個IAuthorizationPolicyProvider ,它可以解釋該字符串並生成具有適當要求的策略。
編輯:還值得指出的是,ASP.NET Core已經包含了用於檢查聲明的需求實現: ClaimsAuthorizationRequirement 。 AuthorizationPolicyBuilder有一個快捷方式( RequireClaim ),因此您可以快速創建檢查聲明的策略:
services.AddAuthorization(options =>
{
options.AddPolicy("EmployeeOnly", policy => policy.RequireClaim("EmployeeNumber"));
});
解決方案2
2 2019-06-16 22:24:01
首先,您需要注冊保單及其相關聲明:
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
services.AddAuthorization(options =>
{
//Scenario 0: Policy requires Claim0 without care what the value is
options.AddPolicy("MyPolicy0", policy => policy.RequireClaim("Claim0"));
//Scenario 1: Policy requires Claim1 with value ClaimValue1_1 OR ClaimValue 1_2
options.AddPolicy("MyPolicy1", policy => policy.RequireClaim("Claim1", "ClaimValue1_1", "ClaimValue1_2"));
//Scenario 2: Policy requires Claims2 AND Claim3 with particular values
options.AddPolicy("MyPolicy2", policy => {
policy.RequireClaim("Claim2", "ClaimValue2");
policy.RequireClaim("Claim3", "ClaimValue3"));
}
//Scenario 3: Policy requires Claims4 OR Claim5 with particular values
options.AddPolicy("MyPolicy3", policy => {
policy.RequireAssertion(ctx =>
{
return ctx.User.HasClaim("Claim4", "ClaimValue4") ||
ctx.User.HasClaim("Claim5", "ClaimValue5");
})
}
});
}
然后在需要時應用這些檢查(可以在控制器或操作級別應用):
[Authorize(Policy = "Policy1")]
public class HomeController : Controller
{
[Authorize(Policy = "Policy2")]
public ActionResult MyAction()
{
...
}
[Authorize(Policy = "Policy3")]
public ActionResult MyAnotherAction()
{
...
}
[AllowAnonymous]
public ActionResult NotSecuredAtAll()
{
...
}
}
別忘了,如果您將多個策略應用於一個控制器或操作,那么所有策略必須在授予訪問權限之前通過(如果只有它們沒有AllowAnonymous屬性)。
解決方案3
2 2019-06-18 00:24:25
在設法獲取nlawalker和ivamax9的反饋后,我設法編寫了允許檢查索賠存在的屬性
總之, HasPermissionAttribute類采用claimType ,然后使用一個可選的claimValue創建一個策略名稱。 屬性類如下所示
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
public class HasPermissionAttribute : AuthorizeAttribute
{
public const string Policy_Prefix = "HasClaim";
public const string Policy_Glue = ".";
public HasPermissionAttribute(string type, string value = null)
{
Policy = GetPolicyValue(type, value);
}
private string GetPolicyValue(string type, string value)
{
if (string.IsNullOrWhiteSpace(type))
{
throw new ArgumentNullException($"{type} cannot be null.");
}
List<string> parts = new List<string> { type.Replace(Policy_Glue, "_").Trim() };
if (!string.IsNullOrWhiteSpace(value))
{
parts.Add(value.Replace(Policy_Glue, "_"));
}
string policy = $"{Policy_Prefix}{Policy_Glue}{string.Join(Policy_Glue, parts)}";
return policy;
}
}
現在,我們已經通過HasPermissionAttribute應用了策略,我們現在需要采用已應用的策略,並使用AuthorizationPolicyBuilder注冊該策略,以檢查給定的聲明是否存在。 也就是說,我添加了一個名為ClaimCheckerPolicyProvider的類,該類接受提供的聲明並按如下方式處理檢查
internal class ClaimCheckerPolicyProvider : IAuthorizationPolicyProvider
{
public Task<AuthorizationPolicy> GetDefaultPolicyAsync()
{
return Task.FromResult(new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build());
}
public Task<AuthorizationPolicy> GetPolicyAsync(string policyName)
{
if (IsClaimBasePolicy(policyName))
{
string[] parts = GetParts(policyName);
if (parts.Length > 0)
{
AuthorizationPolicyBuilder policy = GetPolicyBuilder(parts);
return Task.FromResult(policy.Build());
}
}
return Task.FromResult<AuthorizationPolicy>(null);
}
private bool IsClaimBasePolicy(string policyName)
{
return !string.IsNullOrWhiteSpace(policyName)
&& policyName.StartsWith(HasPermissionAttribute.Policy_Prefix, StringComparison.OrdinalIgnoreCase);
}
private string[] GetParts(string policyName)
{
return policyName.Split(HasPermissionAttribute.Policy_Glue, StringSplitOptions.RemoveEmptyEntries)
.Where(x => !x.Equals(HasPermissionAttribute.Policy_Prefix))
.ToArray();
}
private AuthorizationPolicyBuilder GetPolicyBuilder(string[] parts)
{
if (parts == null)
{
throw new ArgumentNullException($"{nameof(parts)} cannot be null.");
}
var length = parts.Length;
if (length == 0)
{
throw new ArgumentOutOfRangeException($"{nameof(parts)} cannot cannot be empty.");
}
var policy = new AuthorizationPolicyBuilder();
if (length > 1)
{
return policy.RequireClaim(parts[0], parts[1]);
}
return policy.RequireClaim(parts[0]);
}
}
最后,我們需要將提供程序注冊為服務。 在Startup類的ConfigureServices中,添加以下內容
services.AddTransient<IAuthorizationPolicyProvider, ClaimCheckerPolicyProvider>();
如何在 .NET Core 2.2 應用程序中創建 CloudTableClient?
[英]How can I create a CloudTableClient in .NET Core 2.2 app?
如何使用ASP.NET Core Identity v Preview 3.0創建自定義用戶和角色?
[英]How i can create custom user and role with ASP.NET Core identity v preview 3.0?
ASP.NET 核心。 如何在沒有身份用戶帳戶的情況下創建身份驗證 cookie?
[英]ASP.NET Core. How can i create an auth cookie without an identity user account?
如何制作一個可以調用數據庫以檢查用戶聲明以授權用戶的中間件,在ASP.NET Core 2.2中
[英]How to make a middleware that can call database to check user claims to authorize a user in asp.net core 2.2
ASP.NET Core 2.2 User.Identity在剃刀中有一個值,但在控制器中沒有
[英]ASP.NET Core 2.2 User.Identity has a value in razor but not in controller
當ASP.NET Core 2.2項目遇到特定異常時,如何重定向用戶?
[英]How can I redirect a user when a specific exception is cought with ASP.NET Core 2.2 project?
如何在ASP .Net Core 2.2中為ILoggingBuilder創建配置擴展名?
[英]How can I create configure extension for ILoggingBuilder in ASP .Net Core 2.2?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
我無法使用 EF 核心 2.2 加載身份用戶
.net核心mvc模擬身份和聲明,並測試用戶是否有聲明
如何在 .NET Core 2.2 應用程序中創建 CloudTableClient?
如何檢查API請求中的值聲明(ASP.NET Core 2.2)
如何使用ASP.NET Core Identity v Preview 3.0創建自定義用戶和角色?
ASP.NET 核心。 如何在沒有身份用戶帳戶的情況下創建身份驗證 cookie?
如何制作一個可以調用數據庫以檢查用戶聲明以授權用戶的中間件,在ASP.NET Core 2.2中
ASP.NET Core 2.2 User.Identity在剃刀中有一個值,但在控制器中沒有
當ASP.NET Core 2.2項目遇到特定異常時,如何重定向用戶?
如何在ASP .Net Core 2.2中為ILoggingBuilder創建配置擴展名?
相關標簽