ASP.NET MVC 6文件夹授权

时间:2015-02-10 15:00:27

标签: c# asp.net asp.net-mvc asp.net-core

我正在ASP.NET MVC 6中准备应用程序。此应用程序有一个包含一些静态文件的文件夹,用于管理目的。我想限制对具有特定角色的用户访问此内容。

在MVC 6之前,有可能创建一个web.config文件并将其放在这个受限制的文件夹中(例如:asp.net folder authorization)。

vNext中是否有类似的方法?

2 个答案:

答案 0 :(得分:2)

如果您在IIS中托管它,您仍然可以以相同的方式设置文件夹的安全性。

答案 1 :(得分:2)

您可以关注Scott Allen's博文,其中介绍了如何使用某些中间件执行此操作:

// First, in the Startup class for the application, we will add the required services. 
public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication();
    services.AddAuthorization(options =>
    {
        options.AddPolicy("Authenticated", policy => policy.RequireAuthenticatedUser());
    });
}

ProtectFolder类是中间件本身。中间件对象上的Invoke方法是可注入的,因此我们将要求当前的授权服务,并在当前请求朝向受保护的文件夹时使用该服务来授权用户。如果授权失败,我们使用身份验证管理器来挑战用户,这通常会将浏览器重定向到登录页面,具体取决于应用程序的身份验证选项。 

public class ProtectFolderOptions
{
    public PathString Path { get; set; }
    public string PolicyName { get; set; }
}

public static class ProtectFolderExtensions
{
    public static IApplicationBuilder UseProtectFolder(
        this IApplicationBuilder builder, 
        ProtectFolderOptions options)
    {
        return builder.UseMiddleware<ProtectFolder>(options);
    }
}

public class ProtectFolder
{
    private readonly RequestDelegate _next;
    private readonly PathString _path;
    private readonly string _policyName;

    public ProtectFolder(RequestDelegate next, ProtectFolderOptions options)
    {
        _next = next;
        _path = options.Path;
        _policyName = options.PolicyName;
    }

    public async Task Invoke(HttpContext httpContext, 
                             IAuthorizationService authorizationService)
    {
        if(httpContext.Request.Path.StartsWithSegments(_path))
        {
            var authorized = await authorizationService.AuthorizeAsync(
                                httpContext.User, null, _policyName);
            if (!authorized)
            {
                await httpContext.Authentication.ChallengeAsync();
                return;
            }
        }

        await _next(httpContext);
    }
}

回到应用程序的Startup类,我们将配置新的中间件以使用“Authenticated”策略保护/ secret目录。 

public void Configure(IApplicationBuilder app)
{
    app.UseCookieAuthentication(options =>
    {
        options.AutomaticAuthentication = true;
    });

    // This must be before UseStaticFiles.
    app.UseProtectFolder(new ProtectFolderOptions
    {
        Path = "/Secret",
        PolicyName = "Authenticated"
    });

    app.UseStaticFiles();

    // ... more middleware
}
相关问题
最新问题