ASP.NET Core 授权系统中的三种授权方式:Policy, Roles, AuthenticationSchemes
基于角色的授权
基于角色的授权,我们都比较熟悉,使用方式如下:
[Authorize(Roles = "Admin")] // 多个Role可以使用,分割
public class SampleDataController : Controller
{
...
}
基于角色的授权的逻辑与ASP.NET 4.x类似,都是使用我在《初识认证》中介绍的IsInRole方法来实现的。
基于Scheme的授权
对于AuthenticationScheme我在前面几章也都介绍过,比如Cookie认证默认使用的AuthenticationScheme就是Cookies,在JwtBearer认证中,默认的Scheme就是Bearer。
当初在学习认证时,还在疑惑,如何在使用Cookie认证的同时又支持Bearer认证呢?在认证中明明只能设置一个Scheme来执行。当看到这里时,豁然开朗,后面会详细介绍。
[Authorize(AuthenticationSchemes = "Cookies")] // 多个Scheme可以使用,分割
public class SampleDataController : Controller
{
...
}
当我们的应用程序中,同时使用了多种认证Scheme时,AuthenticationScheme授权就非常有用,在该授权模式下,会通过context.AuthenticateAsync(scheme)重新获取Claims。
基于策略的授权
在ASP.NET Core中,重新设计了一种更加灵活的授权方式:基于策略的授权,也是授权的核心。
在使用基于策略的授权时,首先要定义授权策略,而授权策略本质上就是对Claims的一系列断言。
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
services.AddAuthorization(options =>
{
options.AddPolicy("EmployeeOnly", policy => policy.RequireClaim("EmployeeNumber"));
});
}
重点记录基于策略的授权,最为灵活,也是其他两种授权模式的核心。
demo地址:https://gitee.com/xiaoqingyao/authentication-netcore/tree/master/Authorization-Policy
策略控制非常灵活,可以是直接判断是否存在某个claim,也可以是判定claim的值,还可以是组合来判断。
services.AddAuthorization(options => { //会员身份验证 options.AddPolicy("MemberOnly", p => { //p.RequireClaim("MemberCardCode"); p.RequireClaim("Name");//必须包含某个Claim项 }); //必须包含某个Claim项 options.AddPolicy("User", policy => policy .RequireAssertion(context => context.User.HasClaim(c => (c.Type == "EmployeeNumber" || c.Type == "Role"))) ); //综合控制 options.AddPolicy("Employee", policy => policy .RequireRole("Admin")//角色 .RequireUserName("Alice")//身份验证 .RequireClaim("EmployeeNumber")//必须包含某个Claim项 .Combine(commonPolicy));//合并其他策略 //自定义策略 options.AddPolicy("Over18", p => p.Requirements.Add(new MinimumAgeRequirement(18))); //多Handler验证 options.AddPolicy("Anbu", p => p.Requirements.Add(new AnBuEnterRequirement())); });
源:https://www.cnblogs.com/RainingNight/p/authorization-in-asp-net-core.html