我一直在通过User.Identity.Name检索用户名,但是我需要一种方法来限制通过Active Directory中的组对某些页面的访问。
例如,“域管理员”可以查看所有页面,而“查看用户”只能查看登录页面和另一页面。
在Startup.cs
services.AddAuthentication(IISDefaults.AuthenticationScheme);
services.AddAuthorization(options =>
{
options.AddPolicy("AdminRoleOnly", policy => policy.RequireRole(Configuration["SecuritySettings:AdminGroup"]));
});
services.AddMvc(config =>
{
var policy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
config.Filters.Add(new AuthorizeFilter(policy));
});
配置:
"SecuritySettings": {
"AdminGroup": "MYDOMAIN\\Domain Admins"
}
在我的页面模型上(我没有控制器):
[Authorize(Policy = "AdminRoleOnly")]
public class RequestsModel : PageModel
我只是收到一条错误消息,说无论如何我都没有得到授权
答案 0 :(得分:0)
最后,我自己写了一个处理程序(在另一篇文章的帮助下):
public class CheckADGroupHandler : AuthorizationHandler<CheckADGroupRequirement>
{
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context,
CheckADGroupRequirement requirement)
{
var groups = new List<string>();
var wi = (WindowsIdentity)context.User.Identity;
if (wi.Groups != null)
{
foreach (var group in wi.Groups)
{
try
{
groups.Add(group.Translate(typeof(NTAccount)).ToString());
}
catch (Exception e)
{
Console.WriteLine(e.ToString());
}
}
foreach (string policygroup in requirement.GroupName)
{
if (groups.Contains(policygroup))
{
context.Succeed(requirement);
}
}
}
return Task.CompletedTask;
}
}