logo标签列表

ASP.NET Core Web API 自定义 AuthorizeAttribute 问题

c#asp.net-coreasp.net-core-webapi
3

我正在开发ASP.NET Core Web API。我试图创建一个自定义Authorize属性,但是我被卡住了。我不明白我缺少什么。以下是我用于Authorize属性和筛选器的代码:

public class AuthorizeAttribute : TypeFilterAttribute
{
    public AuthorizeAttribute(params string[] claim) : base(typeof(AuthorizeFilter))
    {
        Arguments = new object[] { claim };
    }
}

public class AuthorizeFilter : IAuthorizationFilter
{
    readonly string[] _claim;

    public AuthorizeFilter(params string[] claim)
    {
        _claim = claim;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var IsAuthenticated = context.HttpContext.User.Identity.IsAuthenticated;
        var claimsIndentity = context.HttpContext.User.Identity as ClaimsIdentity;

        if (IsAuthenticated)
        {
            bool flagClaim = false;
            foreach (var item in _claim)
            {
                if (context.HttpContext.User.HasClaim("Role", item))
                    flagClaim = true;
            }

            if (!flagClaim)
            {
                //if (context.HttpContext.Request.IsAjaxRequest())
                    context.HttpContext.Response.StatusCode = (int)HttpStatusCode.Forbidden; //Set HTTP 403 
                //else
                //    context.Result = new RedirectResult("~/Login/Index");
            }
        }
        else
        {
            //if (context.HttpContext.Request.IsAjaxRequest())
            //{
                context.HttpContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized; //Set HTTP 401 -   
            //}
            //else
            //{
            //    context.Result = new RedirectResult("~/Login/Index");
            //}
        }
        return;
    }
}

我从某处复制了这段代码,并注释掉了不必要的行。

以下是我的控制器类,我想把它放在这里:

[Route("api/[controller]/[action]")]
[ApiController]
[Authorize]
public class JobController : ControllerBase
{
    // GET: api/<JobController>
    [HttpGet]
    [ActionName("GetAll")]
    public List<Job> Get()
    {
        return JobDataLog.GetAllJobQueue();
    }

    // GET api/<JobController>/5
    [HttpGet("{ID}")]
    [ActionName("GetByID")]
    public Job Get(Guid ID)
    {
        return JobDataLog.GetJob(ID);
    }

    // GET api/<JobController>/5
    [HttpGet]
    [ActionName("GetCount")]
    public int GetCount()
    {
        return JobDataLog.GetJobTotal();
    }
}

Startup.cs的Configure和ConfigureService方法也需要配置。

// This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            services.AddControllers();
            services.AddDistributedMemoryCache();
            services.AddSession(options =>
            {
                options.IdleTimeout = TimeSpan.FromMinutes(60);
            });

            var tokenKey = Configuration.GetValue<string>("TokenKey");
            var key = Encoding.ASCII.GetBytes(tokenKey);
            services.AddAuthentication(x => { x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; })
                .AddJwtBearer(x =>
            {
                x.RequireHttpsMetadata = false;
                x.SaveToken = true;
                x.TokenValidationParameters = new TokenValidationParameters
                {
                    ValidateIssuerSigningKey = true,
                    IssuerSigningKey = new SymmetricSecurityKey(key),
                    ValidateIssuer = false,
                    ValidateAudience = false
                };
            });
            services.AddSingleton<IJWTAuthenticationManager>(new JWTAuthenticationManager(tokenKey));
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }

            app.UseHttpsRedirection();

            app.UseRouting();

            app.UseCookiePolicy();
            app.UseSession();
            app.Use(async (context, next) =>
            {
                var JWToken = context.Session.GetString("JWToken");
                if (!string.IsNullOrEmpty(JWToken))
                {
                    context.Request.Headers.Add("Authorization", "Bearer " + JWToken);
                }
                await next();
            });

            app.UseAuthentication();
            app.UseAuthorization();

            app.UseEndpoints(endpoints =>
            {
                endpoints.MapControllers();
            });
        }

问题是即使这个控制器有Authorize属性,所有的动作都在被调用,即使Authorize过滤器无效化了授权。
同时当我把下面这段代码放在OnAuthorization方法中:
context.Result = new StatusCodeResult(StatusCodes.Status401Unauthorized);

它阻止了所有操作的访问,包括那些具有 "AllowAnnoynmous" 属性的操作。
请帮帮我,我已经卡在这里三个小时了。
你是否引用了正确的 [Authorize] 属性?尝试重命名它,比如 MyAuthorizeAttribute - mxmissile
[Authorize] 是指正确的内容,我没有在文件中添加 Microsoft.AspNetCore.Authorization 引用。同时我刚刚重命名并检查了一下,它显示语法错误,这意味着引用是正确的。 - azhar rahi
你为什么要绕过提供的 "Authorize" 属性?如果它无法满足您的需求,我建议您了解一下 "IAuthorizationRequirement" 和 "AuthorizationHandler<T>"。 - ChiefTwoPencils
你必须在控制器中想要覆盖的方法上方添加 [AllowAnonymous] 和 [OverrideAuthorization]。 - Yosbel Santana
1个回答
5

如果你真的想使用自定义的AuthorizeAttribute,这里是代码,可以正常工作 :)

你可能会看到一些波浪线,但是VS可以自动添加using语句。

原始代码存在多个问题:

  1. 设置Reponse.StatusCode不会导致响应返回。
  2. HttpContext.User首先不会被填充,因为ASP.NET Core只会尝试验证用户并填充用户的身份/声明,如果一个端点是由内置的AuthorizeAttribute保护的。以下代码通过派生自AuthorizeAttribute来解决这个问题。
  3. 在这种情况下,不需要额外的过滤器工厂类,因为你没有注入依赖项。虽然,如果必须注入,我认为你会遇到麻烦,因为你无法同时派生自TypeFilterAttributeAuthorizeAttribute,而声明列表将始终为空。

可用代码

public class MyAuthorizeAttribute : AuthorizeAttribute, IAuthorizationFilter
{
    readonly string[] _requiredClaims;

    public MyAuthorizeAttribute(params string[] claims)
    {
        _requiredClaims = claims;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var isAuthenticated = context.HttpContext.User.Identity.IsAuthenticated;
        if (!isAuthenticated)
        {
            context.Result = new UnauthorizedResult();
            return;
        }

        var hasAllRequredClaims = _requiredClaims.All(claim => context.HttpContext.User.HasClaim(x => x.Type == claim));
        if (!hasAllRequredClaims)
        {
            context.Result = new ForbidResult();
            return;
        }
    }
}

你应该使用策略

这种糟糕的工作方式存在的原因是ASP.NET Core开发团队不希望你编写自定义授权属性,参见有关此主题的这个答案。 "正确"的方法是创建策略,并将你的要求分配给这些策略。但我认为授权过程过于僵硬,缺乏对基本场景的支持也很愚蠢。

1
你应该使用策略而不是其他方法。- 是的 +1。 - ChiefTwoPencils
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接