asp.net core认证与授权:授权

 ASP.NET Core 授权系统中的三种授权方式:PolicyRolesAuthenticationSchemes

基于角色的授权

基于角色的授权,我们都比较熟悉,使用方式如下:

[Authorize(Roles = "Admin")] // 多个Role可以使用,分割
public class SampleDataController : Controller
{
    ...
}

基于角色的授权的逻辑与ASP.NET 4.x类似,都是使用我在《初识认证》中介绍的IsInRole方法来实现的。

基于Scheme的授权

对于AuthenticationScheme我在前面几章也都介绍过,比如Cookie认证默认使用的AuthenticationScheme就是Cookies,在JwtBearer认证中,默认的Scheme就是Bearer

当初在学习认证时,还在疑惑,如何在使用Cookie认证的同时又支持Bearer认证呢?在认证中明明只能设置一个Scheme来执行。当看到这里时,豁然开朗,后面会详细介绍。

[Authorize(AuthenticationSchemes = "Cookies")] // 多个Scheme可以使用,分割
public class SampleDataController : Controller
{
    ...
}

当我们的应用程序中,同时使用了多种认证Scheme时,AuthenticationScheme授权就非常有用,在该授权模式下,会通过context.AuthenticateAsync(scheme)重新获取Claims。

基于策略的授权

在ASP.NET Core中,重新设计了一种更加灵活的授权方式:基于策略的授权,也是授权的核心。

在使用基于策略的授权时,首先要定义授权策略,而授权策略本质上就是对Claims的一系列断言。

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();

    services.AddAuthorization(options =>
    {
        options.AddPolicy("EmployeeOnly", policy => policy.RequireClaim("EmployeeNumber"));
    });
}
重点记录基于策略的授权,最为灵活,也是其他两种授权模式的核心。
demo地址:https://gitee.com/xiaoqingyao/authentication-netcore/tree/master/Authorization-Policy

策略控制非常灵活,可以是直接判断是否存在某个claim,也可以是判定claim的值,还可以是组合来判断。

  

services.AddAuthorization(options =>
            {
                //会员身份验证
                options.AddPolicy("MemberOnly", p =>
                {
                    //p.RequireClaim("MemberCardCode");
                    p.RequireClaim("Name");//必须包含某个Claim项
                });

                //必须包含某个Claim项
                options.AddPolicy("User", policy => policy
                    .RequireAssertion(context => context.User.HasClaim(c => (c.Type == "EmployeeNumber" || c.Type == "Role")))
                );
                //综合控制
                options.AddPolicy("Employee", policy => policy
                        .RequireRole("Admin")//角色
                        .RequireUserName("Alice")//身份验证
                        .RequireClaim("EmployeeNumber")//必须包含某个Claim项
                        .Combine(commonPolicy));//合并其他策略
                //自定义策略
                options.AddPolicy("Over18", p => p.Requirements.Add(new MinimumAgeRequirement(18)));
                //多Handler验证
                options.AddPolicy("Anbu", p => p.Requirements.Add(new AnBuEnterRequirement()));
            });

 

源:https://www.cnblogs.com/RainingNight/p/authorization-in-asp-net-core.html

上一篇:hosts.allow和hosts.deny文件允许或禁止ssh或telnet操作


下一篇:nginx ip段限制