我是ASP.NET Core的新手,我一直在尝试寻找一种实现基于权限的授权的方法,其中用户必须具有特定权限才能访问特定操作。当我浏览Microsoft授权文档时,他们解释了如何使用自定义的IAuthorizationPolicyProvider来实现此目的,我已经了解但尚未尝试过。 但是我的问题是,如果我使用自定义的参数化授权过滤器执行相同操作,是否有问题或可以吗?
公共类HasPermissionAttribute:属性,IAuthorizationFilter { 私有只读字符串权限;
public HasPermissionAttribute(string permission)
{
this.permission = permission;
}
public void OnAuthorization(AuthorizationFilterContext context)
{
var user = context.HttpContext.User;
if (user.HasClaim("Permission", permission))
{
context.Result = new UnauthorizedResult();
}
}
}
并使用如下所示的过滤器
公共类HomeController:控制器 {
[HasPermission("User_Edit")
public IActionResult EditUser()
{
var user = HttpContext.User;
return View(user);
}
}
从上面的代码中,如果我添加一些“权限”类型的自定义声明,然后使用它们来授权用户,该怎么办?
以这种方式进行操作是否有任何缺点,还是应该坚持创建自定义IAuthorizationPolicyProvider?
我是一个初学者,我认为这种方法太容易了,有点让我认为这不是实现我想要实现的目标的正确方法。任何反馈将不胜感激。谢谢
答案 0 :(得分:0)
推荐的方法是使用基于策略的方法,使用自定义授权属性通过自定义AuthorizationPolicyProvider
动态生成策略。
来自this reply:
我们不希望您编写自定义授权属性。如果您需要这样做,我们做错了。相反,您应该编写授权要求。
类似的讨论here也供您参考。