Asp.Net Core：在AuthorizeHandler中访问自定义AuthorizeAttribute属性

Question

Asp.Net Core：在AuthorizeHandler中访问自定义AuthorizeAttribute属性

c#asp.net-mvcauthenticationasp.net-coreauthorization

4

因为我正在处理Asp.Net core授权部分，所以我需要在AuthorizeAttribute中添加一个新的属性，以便将其用作额外的权限值。因此，我通过自定义的方法扩展了AuthorizeAttribute。如下所示：

public class RoleAuthorizeAttribute : Microsoft.AspNetCore.Authorization.AuthorizeAttribute
    {
        public string Permission { get; private set; }

        public RoleAuthorizeAttribute(string policy, string permission) : base(policy)
        {
            this.Permission = permission;
        }
    }

然后，我创建了一个AuthorizationHandler来检查如下的要求：

public class RolePermissionAccessRequirement : AuthorizationHandler<RolePermissionDb>
    {
        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, RolePermissionDb requirement)
        {
            // check here..
            context.Succeed(requirement);

            return Task.FromResult(0);
        }
    }

我已经完成了所有相关服务集合映射，这里只是省略了。

现在，我希望我的属性可以在控制器操作级别上使用：

[RoleAuthorize("DefaultPolicy", "CustomPermission")]
public IActionResult List()
{
}

请问有人能建议我如何访问处理程序RolePermissionAccessRequirement中顶部给出的权限属性值吗？

我想基于在Action方法上方的Authorize attribute中给出的自定义权限值执行某种访问规则。

提前感谢！

- Damian T

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Ilya Chumakov · Accepted Answer

为自定义的 Authorize 属性设置参数，可以创建一个实现了 IAsyncAuthorizationFilter 接口的授权过滤器。然后将该过滤器包装在一个派生自 TypeFilterAttribute 的属性中。此属性可以接受参数并将其传递给授权过滤器的构造函数。

以下是使用示例：

[AuthorizePermission(Permission.Foo, Permission.Bar)]
public IActionResult Index()
{
    return View();
}

实现:

public class AuthorizePermissionAttribute : TypeFilterAttribute
{
    public AuthorizePermissionAttribute(params Permission[] permissions)
        : base(typeof(PermissionFilter))
    {
        Arguments = new[] { new PermissionRequirement(permissions) };
        Order = Int32.MinValue;
    }
}    

public class PermissionFilter : Attribute, IAsyncAuthorizationFilter
{
    private readonly IAuthorizationService _authService;
    private readonly PermissionRequirement _requirement;

    public PermissionFilter(
        IAuthorizationService authService, 
        PermissionRequirement requirement)
    {
        //you can inject dependencies via DI            
        _authService = authService;

        //the requirement contains permissions you set in attribute above
        //for example: Permission.Foo, Permission.Bar
        _requirement = requirement;
    }

    public async Task OnAuthorizationAsync(AuthorizationFilterContext context)
    {
        bool ok = await _authService.AuthorizeAsync(
            context.HttpContext.User, null, _requirement);

        if (!ok) context.Result = new ChallengeResult();
    }
}

此外，需要在 DI 中注册一个 PermissionHandler 来处理具有权限列表的 PermissionRequirement。

public class PermissionHandler : AuthorizationHandler<PermissionRequirement>

请查看此GitHub项目，以获取完整示例。