ASP .NET Core Razor页面中的授权

Razor Pages不支持在handler级别使用[Authorize]，即你只能在PageModel本身上授权整个页面，详见文档：

不能在Razor Page handler级别应用策略，必须应用到页面上。

如果将整个页面授权不可行的话，你可能需要将OnGetCreateAsync handler移到一个控制器/操作对中，并相应地加上[Authorize]。
此外，文档中还有一个相关的GitHub问题：

[Authorize]过滤器属性自2.0版本以来已在Razor Pages中得到支持，但请注意它仅适用于页面模型类级别。

如果您需要更好的解决方法，请参见akbar的答案和Jim Yabro的答案。

我建议在ASP.NET Core中遵循Razor页面授权约定，如下所示：

services.AddRazorPages(options =>
{
    options.Conventions.AuthorizePage("/Contact");
    options.Conventions.AuthorizeFolder("/Private");
    options.Conventions.AllowAnonymousToPage("/Private/PublicPage");
    options.Conventions.AllowAnonymousToFolder("/Private/PublicPages");
});

在您使用策略 test 的情况下，它应该像这样：

options.Conventions.AuthorizePage("/Account", "test");

来源:

https://learn.microsoft.com/en-us/aspnet/core/security/authorization/razor-pages-authorization?view=aspnetcore-5.0

Authorize 属性受支持，但仅可用于 PageModel，例如：

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.RazorPages;

namespace PageFilter.Pages
{
    [Authorize]
    public class ModelWithAuthFilterModel : PageModel
    {
        public IActionResult OnGet() => Page();
    }
}

Source:

https://learn.microsoft.com/en-us/aspnet/core/razor-pages/filter?view=aspnetcore-5.0#authorize-filter-attribute

另一种解决方法是通过if子句检查认证。像这样：

if (!HttpContext.User.Identity.IsAuthenticated)
    {
      return Redirect("/Front/Index");
    }

你可以通过查找角色(role)来检查其中的roles。

var user = await _userManager.FindByEmailAsync(model.Email);
var roles = await _userManager.GetRolesAsync(user);

不要使用AuthorizeAttribute，因为它不受支持。
相反，一旦在Startup.cs中配置了策略，您将能够从页面处理程序中检查这些策略。

1. 将IAuthorizationService注入到您的页面模型构造函数中
2. 在处理程序内部调用AuthorizeAsync()。
3. 对结果的.Succeeded属性运行条件检查。
4. 如果.Succeeded为false，则返回一个Forbid()结果。

这几乎与[Authorize(Policy=...)]具有相同的结果，但在页面生命周期后执行。

using Microsoft.AspNetCore.Authorization;
// ...

public class TestPageModel : PageModel {
    readonly IAuthorizationService AuthorizationService;

    public TestPageModel(IAuthorizationService authorizationService) {
        AuthorizationService= authorizationService;
    }

    // Everyone can see this handler.
    public void OnGet() { }

    // Everyone can access this handler, but will be rejected after the check.
    public async Task<IActionResult> OnPostAsync() {
        
        // This is your policy you've defined in Startup.cs
        var policyCheck = await AuthorizationService.AuthorizeAsync(User, "test");

        // Check the result, and return a forbid result to the user if failed.
        if (!policyCheck.Succeeded) {
            return Forbid();
        }

        // ...

        return Page(); // Or RedirectToPage etc
    }
}

我的解决方案使用 ASP.NET Core中基于权限的授权：

    [Authorize(Permissions.PageX.AddParameter)]
    public async Task<IActionResult> OnPostAddParameterAsync(uint id, string key, string value)
    {
        if (!this.ArePermissionsValid()) return Forbid();
        /// ...
    }

    public static class PageExtensions
    {
    
        public static bool ArePermissionsValid(this PageModel page)
        {
            try
            {
                var authorizeAttribute = new StackTrace().GetFrames().FirstOrDefault(x =>  x.GetMethod().Name.StartsWith("On")).GetMethod().GetCustomAttribute<AuthorizeAttribute>();
                if (authorizeAttribute == null) return true;
                var hasPermissions = page.User.Claims.Any(x => x.Type.Equals("permission") && x.Value.Equals(authorizeAttribute.Policy));
                return hasPermissions;
            }
            catch (Exception e)
            {
                Log.Error($"${nameof(PageExtensions)}.{nameof(ArePermissionsValid)} | {e.Message}");
                return false;
            }
        }
    }