在我的旧.NET MVC应用程序中,我可以在IIS中启用Windows身份验证并禁用匿名。然后在我的web.config文件中,我只需要输入:
<authorization>
<allow roles="Domain\MyADGroupToHaveAccess" />
<deny users="*" />
</authorization>
在.NET Core 2.0中,这不起作用 - 它正确拒绝匿名,但无论如何都会授权所有用户。
如果我这样做:
[Authorize(Roles = "Domain\\MyADGroupToHaveAccess")]
在我的HomeController上,它有效,但我不想在我的项目中对此设置进行硬编码,因为它需要针对其他环境进行更改。
如何让web.config使用AD授权?或者是否有其他方法可以在ASP.NET Core中不对此设置进行硬编码?
答案 0 :(得分:17)
我通过将其变成可以调用appsettings.json的策略来解决这个问题。这样,有权访问服务器的其他人就可以将该组编辑为自己的组。
在Startup.cs:
services.AddAuthorization(options =>
{
options.AddPolicy("ADRoleOnly", policy => policy.RequireRole(Configuration["SecuritySettings:ADGroup"]));
});
services.AddMvc(config =>
{
var policy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
config.Filters.Add(new AuthorizeFilter(policy));
});
在appsettings.json(或者如果你有不同的话appsettings.production.json):
"SecuritySettings": {
"ADGroup": "YourDomain\\YourADGroup"
}
在控制器中,您可以使用以下属性对其进行装饰:
[Authorize(Policy = "ADRoleOnly")]
希望这可以帮助其他人
我还要弄清楚如何全局应用这个策略,所以我不必授权每个控制器,我想它可以在services.AddMvc以某种方式完成?
答案 1 :(得分:1)
要扩展Morten_564834的答案,这是我们针对此问题的方法。创建所有控制器都继承自的基本控制器。
[Authorize(Policy = "AdUser")]
public class FTAControllerBase : Controller
{
private readonly ApplicationDbContext _db;
private readonly ILogHandler _logger;
public FTAControllerBase(ApplicationDbContext DbContext, ILogHandler Logger, IWindowsAccountLinker WinAccountLinker)
{
_db = DbContext;
_logger = Logger;
/// get registered user via authenticated windows user.
//var user = WinAccountLinker.LinkWindowsAccount();
}
}
然后在其他控制器中:
public class LettersController : FTAControllerBase
{ ... }
如果要对方法进行细化权限:
[Authorize("GenerateLetterAdUser")]
[HttpGet]
public IActionResult Generate()
{
return View();
}
Startup.cs:
// add authorization for application users
var section = Configuration.GetSection($"AuthorizedAdUsers");
var roles = section.Get<string[]>();
services.AddAuthorization(options =>
{
options.AddPolicy("AdUser", policy => policy.RequireRole(roles));
});
AppSettings.json:
"AuthorizedAdUsers": [
"domain\\groupname"
],