使用Azure AD身份验证进行自定义授权

时间:2017-12-05 11:09:46

标签: asp.net authorization azure-active-directory azure-service-fabric asp.net-core-2.0

我正在使用ASP.NET Core 2.0开发服务结构无状态Web应用程序。此应用程序使用Azure AD来验证来自多个AD租户的用户。我想要实现的是使用我自己的基于角色的授权,可以使用授权用户在我的应用程序中进行配置。这些角色存储在我的应用程序中。

在我当前的实现中,我通过添加自定义IAuthorizationRequirement的策略为我的应用添加了授权。在需求授权期间,根据用户权限添加声明。这意味着在登录后添加了声明。 [Authorize(Roles = "role")]属性也不起作用,因为角色声明是在登录后添加的

使用Azure AD中经过身份验证的用户实现此自定义授权的正确方法是什么?

1 个答案:

答案 0 :(得分:2)

您可以在用户通过OnTokenValidated事件登录后添加自己的自定义声明:

.AddOpenIdConnect(o =>
{
    Configuration.GetSection("OpenIdConnect").Bind(o);
    o.Events = new OpenIdConnectEvents
    {
        OnTokenValidated = async ctx =>
        {
            string oid = ctx.Principal.FindFirstValue("http://schemas.microsoft.com/identity/claims/objectidentifier");

            var db = ctx.HttpContext.RequestServices.GetRequiredService<AuthorizationDbContext>();

            var objectIdGuid = Guid.Parse(oid);
            bool isSuperAdmin = await db.SuperAdmins.AnyAsync(a => a.ObjectId == objectIdGuid);
            if (isSuperAdmin)
            {
                var claims = new List<Claim>();
                claims.Add(new Claim(ClaimTypes.Role, Roles.SuperAdmin));
                var appIdentity = new ClaimsIdentity(claims, "MyTestAppIdentity");

                ctx.Principal.AddIdentity(appIdentity);
            }
        }
    };
});

这里作为一个例子,我们从数据库中检查用户是否是超级管理员。然后,如果它们是,我们为它们创建一个新的身份,并具有必要的角色作为主张。

所有身份都在委托人上合并以产生他们的索赔集,因此所有其他索赔仍然可用。

相关问题
最新问题