策略最常在应用程序启动时在Startup
类ConfigureServices
方法中注册。
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthorization(config =>
{
config.AddPolicy("IsDeveloper", policy => policy.RequireClaim("IsDeveloper","true"));
});
}
该策略IsDeveloper
要求用户拥有IsDeveloper
值为 的声明true
。
您可以通过Authorize
属性应用策略的角色。
[Route("api/[controller]")]
[ApiController]
public class SystemController
{
[Authorize(Policy = “IsDeveloper”)]
public IActionResult LoadDebugInfo()
{
// ...
}
}
Blazors 指令和组件也适用于策略。
@page "/debug"
@attribute [Authorize(Policy = "IsDeveloper")]
< AuthorizeView Policy="IsDeveloper">
< p>You can only see this if you satisfy the IsDeveloper policy.< /p>
< /AuthorizeView>
更轻松的管理
使用基于角色的身份验证,如果我们有几个角色可以访问受保护的资源 - 比如说admin
和moderator
. 我们需要去他们被允许访问的每个区域并添加一个Authorize
属性。
[Authorize(Roles = "admin,moderator")]
最初这似乎并不算太糟糕,但是如果出现新需求并且第三个角色superuser
, 需要相同的访问权限怎么办?我们现在需要遍历每个区域并更新所有角色。使用基于策略的身份验证,我们可以避免这种情况。
我们可以在一个地方定义一个策略,然后将它一次应用于所有需要它的资源。然后当需要添加额外的角色时,我们可以从中心点更新策略,而不需要更新单个资源。
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthorization(config =>
{
config.AddPolicy("IsAdmin", policy => policy.RequireRole("admin", "moderator", "superuser"));
});
}
[Authorize(Policy = "IsAdmin")]
创建共享策略
为此,我们需要Microsoft.AspNetCore.Authorization
从 NuGet 安装包。
之后创建一个Policies
使用以下代码调用的新类。
public static class Policies
{
public const string IsAdmin = "IsAdmin";
public const string IsUser = "IsUser";
public static AuthorizationPolicy IsAdminPolicy()
{
return new AuthorizationPolicyBuilder().RequireAuthenticatedUser()
.RequireRole("Admin")
.Build();
}
public static AuthorizationPolicy IsUserPolicy()
{
return new AuthorizationPolicyBuilder().RequireAuthenticatedUser()
.RequireRole("User")
.Build();
}
}
在这里,我们使用AuthorizationPolicyBuilder
来定义每个策略,两者都要求用户经过身份验证,然后根据策略处于Admin
角色或User
角色中。
配置服务器
ConfigureServices
在类中注册策略Startup
。在现有调用下添加以下代码AddAuthentication
。
services.AddAuthorization(config =>
{
config.AddPolicy(Policies.IsAdmin, Policies.IsAdminPolicy());
config.AddPolicy(Policies.IsUser, Policies.IsUserPolicy());
});
注册每个策略并使用我们在类中定义的常量Policies
来声明它们的名称,这样可以节省使用魔术字符串。
如果我们移动到 ,SampleDataController
我们可以更新Authorize
属性以使用新IsAdmin
策略而不是旧角色。
[Authorize(Policy = Policies.IsAdmin)]
[Route("api/[controller]")]
public class SampleDataController : Controller
同样,我们可以使用我们的名称常量来避免魔术字符串。
配置客户端
我们的服务器现在正在使用我们定义的新策略,剩下要做的就是交换我们的 Blazor 客户端以也使用它们。
与服务器一样,我们将从ConfigureServices
在Startup
类中注册策略开始。我们已经打了电话,AddAuthorizationCore
所以我们只需要更新它。
services.AddAuthorizationCore(config =>
{
config.AddPolicy(Policies.IsAdmin, Policies.IsAdminPolicy());
config.AddPolicy(Policies.IsUser, Policies.IsUserPolicy());
});
在Index.razor
中,更新AuthorizeView
组件以使用策略 - 仍然避免使用魔法字符串。
< AuthorizeView Policy="@Policies.IsUser">
< p>You can only see this if you satisfy the IsUser policy.< /p>
< /AuthorizeView>
< AuthorizeView Policy="@Policies.IsAdmin">
< p>You can only see this if you satisfy the IsAdmin policy.< /p>
< /AuthorizeView>
最后,更新FetchData.razor
sAuthorize
属性。
@attribute [Authorize(Policy = Policies.IsAdmin)]
参考这里