[英]How can I create attribute to check if the user has a claim with Identity core 2.2?
我在ASP.NET Core 2.2框架的頂部有一個用C#
編寫的應用程序。
我希望能夠在允許用戶訪問該操作之前檢查用戶是否有索賠。
我創建了一個AuthorizationHandler
來檢查用戶是否有這樣的聲明
public class ClaimExistanceHandler : AuthorizationHandler<MustHaveClaimRequirement>
{
protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, MustHaveClaimRequirement requirement)
{
if (context == null
|| context.User == null
|| context.User.Identity == null
|| !context.User.Identity.IsAuthenticated
|| requirement == null
|| string.IsNullOrWhiteSpace(requirement.Type)
|| context.User.HasClaim(requirement.Type, requirement.Value))
{
context.Fail();
}
else
{
context.Succeed(requirement);
}
await Task.Yield();
}
}
}
那么要求如下
public class MustHaveClaimRequirement : IAuthorizationRequirement
{
public string Type { get; set; }
public string Value { get; set; }
public MustHaveClaimRequirement(string type, string value)
{
Type = type;
Value = value;
}
}
但是,我怎樣才能將此要求稱為屬性? 例如HasPermission("do something", "1")
似乎我的HasPermission類需要實現AuthorizeAttribute
但不確定如何從該屬性調用處理程序。
您的主要目標是將需求納入策略中 ,然后使用或創建可以使用字符串名稱指定該策略的屬性。 完成此操作后,無需擔心自己調用處理程序,因為ASP.NET Core會為您解決這一問題。
創建策略的最簡單方法是在應用啟動時執行此操作,如此處所述 。 創建策略,然后使用AuthorizeAttribute
指定要附加到每個端點的策略。
但是,以這種方式進行操作需要您預先定義所有策略。 如果那將導致您需要創建大量不同的策略(因為您將要檢查許多不同的索賠類型),而您真正想要的是能夠擁有一個指定索賠信息的屬性,更動態的方式:請參見此處 。 您需要創建一個AuthorizeAttribute
實現,該實現將參數值(名稱和類型) IAuthorizationPolicyProvider
到字符串中,並創建並注冊一個IAuthorizationPolicyProvider
,它可以解釋該字符串並生成具有適當要求的策略。
編輯:還值得指出的是,ASP.NET Core已經包含了用於檢查聲明的需求實現: ClaimsAuthorizationRequirement
。 AuthorizationPolicyBuilder
有一個快捷方式( RequireClaim
),因此您可以快速創建檢查聲明的策略:
services.AddAuthorization(options =>
{
options.AddPolicy("EmployeeOnly", policy => policy.RequireClaim("EmployeeNumber"));
});
首先,您需要注冊保單及其相關聲明:
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
services.AddAuthorization(options =>
{
//Scenario 0: Policy requires Claim0 without care what the value is
options.AddPolicy("MyPolicy0", policy => policy.RequireClaim("Claim0"));
//Scenario 1: Policy requires Claim1 with value ClaimValue1_1 OR ClaimValue 1_2
options.AddPolicy("MyPolicy1", policy => policy.RequireClaim("Claim1", "ClaimValue1_1", "ClaimValue1_2"));
//Scenario 2: Policy requires Claims2 AND Claim3 with particular values
options.AddPolicy("MyPolicy2", policy => {
policy.RequireClaim("Claim2", "ClaimValue2");
policy.RequireClaim("Claim3", "ClaimValue3"));
}
//Scenario 3: Policy requires Claims4 OR Claim5 with particular values
options.AddPolicy("MyPolicy3", policy => {
policy.RequireAssertion(ctx =>
{
return ctx.User.HasClaim("Claim4", "ClaimValue4") ||
ctx.User.HasClaim("Claim5", "ClaimValue5");
})
}
});
}
然后在需要時應用這些檢查(可以在控制器或操作級別應用):
[Authorize(Policy = "Policy1")]
public class HomeController : Controller
{
[Authorize(Policy = "Policy2")]
public ActionResult MyAction()
{
...
}
[Authorize(Policy = "Policy3")]
public ActionResult MyAnotherAction()
{
...
}
[AllowAnonymous]
public ActionResult NotSecuredAtAll()
{
...
}
}
別忘了,如果您將多個策略應用於一個控制器或操作,那么所有策略必須在授予訪問權限之前通過(如果只有它們沒有AllowAnonymous
屬性)。
在設法獲取nlawalker
和ivamax9
的反饋后,我設法編寫了允許檢查索賠存在的屬性
總之, HasPermissionAttribute
類采用claimType
,然后使用一個可選的claimValue
創建一個策略名稱。 屬性類如下所示
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
public class HasPermissionAttribute : AuthorizeAttribute
{
public const string Policy_Prefix = "HasClaim";
public const string Policy_Glue = ".";
public HasPermissionAttribute(string type, string value = null)
{
Policy = GetPolicyValue(type, value);
}
private string GetPolicyValue(string type, string value)
{
if (string.IsNullOrWhiteSpace(type))
{
throw new ArgumentNullException($"{type} cannot be null.");
}
List<string> parts = new List<string> { type.Replace(Policy_Glue, "_").Trim() };
if (!string.IsNullOrWhiteSpace(value))
{
parts.Add(value.Replace(Policy_Glue, "_"));
}
string policy = $"{Policy_Prefix}{Policy_Glue}{string.Join(Policy_Glue, parts)}";
return policy;
}
}
現在,我們已經通過HasPermissionAttribute
應用了策略,我們現在需要采用已應用的策略,並使用AuthorizationPolicyBuilder
注冊該策略,以檢查給定的聲明是否存在。 也就是說,我添加了一個名為ClaimCheckerPolicyProvider
的類,該類接受提供的聲明並按如下方式處理檢查
internal class ClaimCheckerPolicyProvider : IAuthorizationPolicyProvider
{
public Task<AuthorizationPolicy> GetDefaultPolicyAsync()
{
return Task.FromResult(new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build());
}
public Task<AuthorizationPolicy> GetPolicyAsync(string policyName)
{
if (IsClaimBasePolicy(policyName))
{
string[] parts = GetParts(policyName);
if (parts.Length > 0)
{
AuthorizationPolicyBuilder policy = GetPolicyBuilder(parts);
return Task.FromResult(policy.Build());
}
}
return Task.FromResult<AuthorizationPolicy>(null);
}
private bool IsClaimBasePolicy(string policyName)
{
return !string.IsNullOrWhiteSpace(policyName)
&& policyName.StartsWith(HasPermissionAttribute.Policy_Prefix, StringComparison.OrdinalIgnoreCase);
}
private string[] GetParts(string policyName)
{
return policyName.Split(HasPermissionAttribute.Policy_Glue, StringSplitOptions.RemoveEmptyEntries)
.Where(x => !x.Equals(HasPermissionAttribute.Policy_Prefix))
.ToArray();
}
private AuthorizationPolicyBuilder GetPolicyBuilder(string[] parts)
{
if (parts == null)
{
throw new ArgumentNullException($"{nameof(parts)} cannot be null.");
}
var length = parts.Length;
if (length == 0)
{
throw new ArgumentOutOfRangeException($"{nameof(parts)} cannot cannot be empty.");
}
var policy = new AuthorizationPolicyBuilder();
if (length > 1)
{
return policy.RequireClaim(parts[0], parts[1]);
}
return policy.RequireClaim(parts[0]);
}
}
最后,我們需要將提供程序注冊為服務。 在Startup類的ConfigureServices
中,添加以下內容
services.AddTransient<IAuthorizationPolicyProvider, ClaimCheckerPolicyProvider>();
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.