使用.net Core 3.1,我按照官方文档(Scaffold Identity in ASP.NET Core projects)中的说明将Identity固定到我的空Web项目中。
我正在使用基于声明的授权。在我的 Startup.cs 文件中,创建了以下策略:
services.AddAuthorization(options =>
{
options.AddPolicy("Admin", policy =>
{
policy.RequireClaim("CanListUsers", true.ToString());
policy.RequireClaim("CanEditUsers", true.ToString());
});
});
,然后我立即对某些 Area 页面进行如下操作:
services.AddRazorPages(options =>
{
options.Conventions.AuthorizeAreaPage("Identity", "/Account/Register", "Admin");
options.Conventions.AuthorizeAreaFolder("Identity", "/Account/Manage");
});
我只想关闭对“管理员”用户的注册。我只允许登录用户管理帐户。
我无法登录“注册”页面。我仍然可以在没有登录用户的情况下访问它。为什么不呢?
另一方面,奇怪的是,如果我删除了授权约定/Account/Manage,则该页面会将匿名用户重定向到Login。怎么回事?
答案 0 :(得分:0)
我想我已经解决了两个问题。
页面装饰有[AllowAnonymous]。 decor显然,装饰器的优先级高于配置时设置的公约。
/Account/Manage,则该页面会将匿名用户重定向到Login。怎么回事?我注意到,所有未登录用户应该访问的页面都装饰有[AllowAnonymous]。我认为该支架是一个身份模板,假定实现者最终会添加
app.UseAuthentication();
app.UseAuthorization();
我在这里的想法是,这些中间件会自动限制所有页面,本质上是在所有页面上捆绑一个[Authorize]属性,以便可以允许未登录用户的页面选择退出{{ 1}}。
这些不过是有根据的猜测而已,所以请随时在评论中纠正我p