堆棧內存溢出
  簡體   English   中英

在構建需要聲明的策略時,我們是否需要包含 RequireAuthenticatedUser?

[英]Do we need to include RequireAuthenticatedUser when building a policy that requires claims?

 原文  2020-10-09 06:47:33       c#/ asp.net-core/ authentication/ model-view-controller/ authorization

問題描述

當您在 ASP.NET Core 中創建自定義策略時,如下所示:

services.AddAuthorization(options =>
    {
        options.AddPolicy("MyCustomPolicy",
            policyBuilder => policyBuilder.RequireClaim("SomeClaim"));
    });

如上定義與按以下方式定義有什么區別:

services.AddAuthorization(options =>
    {
        options.AddPolicy("MyCustomPolicy",
            policyBuilder => policyBuilder.RequireAuthenticatedUser()
                             .RequireClaim("SomeClaim"));
    });

我的意思是,有沒有可能在沒有經過身份驗證的情況下提出索賠? 如果是 - 它是如何工作的? 一個證明這種行為的例子會很棒!

編輯: 是調用RequireClaim背后的要求的源代碼, RequireAuthenticatedUser的要求。

1 個解決方案

解決方案1
 2  2020-10-09 10:06:14

從有關AuthorizationPolicyBuilder.RequireAuthenticatedUser 方法的文檔中,我們可以找到:

Adds a DenyAnonymousAuthorizationRequirement to the current instance

下面的示例可以幫助了解它是如何工作的。

添加自定義聲明

app.UseAuthentication();

app.Use(async (context, next) =>
{
    //add a claim to this claims identity
    context.User.Identities.FirstOrDefault().AddClaim(new Claim("SomeClaim", "testval"));

    await next.Invoke();
});

app.UseAuthorization();

如果不調用.RequireAuthenticatedUser方法

services.AddAuthorization(options =>
{
    options.AddPolicy("MyCustomPolicy",
        policyBuilder => policyBuilder.RequireClaim("SomeClaim"));

});

我們可以發現匿名用戶也可以通過聲明檢查並訪問資源,如下所示。

在此處輸入圖像描述

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 我們什么時候需要IOptions? 什么時候需要給委托加上“靜態”前綴? 我們什么時候需要使用[可瀏覽(真)]? 獲取C#中的屬性時是否需要加鎖 基於索賠和政策的授權 Asp.Net MVC4 Web API-我們是否需要OData來構建快速查詢服務 如何在ProfileDataRequestContext中包含access_token聲明? 我們什么時候需要將 ProcessStartInfo.UseShellExecute 設置為 True? 當有實體框架時,我們還需要bindingsource嗎? Asp Core API。 在Linux上發布后,策略RequireAuthenticatedUser不允許經過身份驗證的用戶
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM