ASP.NET Core 的 AuthorizeAttribute 提供了一种基于声明授权操作的便捷方法。然而,在之前的版本中,您可以重写 bool AuthorizeCore(HttpContextBase httpContext) 来实现自定义授权逻辑。此方法在 AuthorizeAttribute 中不再存在。
ASP.NET Core 团队建议使用策略进行自定义授权。以下是流程:
在 Startup.cs 中定义策略:
options.AddPolicy("YourPolicyName", policy => policy.RequireClaim(...));将 [Authorize] 属性添加到您的操作或控制器:
[Authorize(Policy = "YourPolicyName")] public IActionResult Action(...)
如果基于策略的方法不适用,您可以使用 IAuthorizationFilter 接口创建一个自定义 AuthorizeAttribute:
public class ClaimRequirementAttribute : TypeFilterAttribute
{
public ClaimRequirementAttribute(string claimType, string claimValue) : base(typeof(ClaimRequirementFilter))
{
Arguments = new object[] { new Claim(claimType, claimValue) };
}
}
public class ClaimRequirementFilter : IAuthorizationFilter
{
private readonly Claim _claim;
public ClaimRequirementFilter(Claim claim)
{
_claim = claim;
}
public void OnAuthorization(AuthorizationFilterContext context)
{
bool hasClaim = context.HttpContext.User.Claims.Any(c => c.Type == _claim.Type && c.Value == _claim.Value);
if (!hasClaim)
{
context.Result = new ForbidResult();
}
}
}使用方法示例:
[Route("api/resource")]
public class MyController : Controller
{
[ClaimRequirement(MyClaimTypes.Permission, "CanReadResource")]
[HttpGet]
public IActionResult GetResource()
{
return Ok();
}
}通过在您的过滤器中实现 OnAuthorization 方法,您可以根据声明指定授权逻辑。
以上是如何使用索赔中的ASP.NET Core中实现自定义授权?的详细内容。更多信息请关注PHP中文网其他相关文章!
