ASP.NET Core 中如何通过 AuthorizeAttribute 做自定义验证?

最新推荐文章于 2024-05-05 22:22:02 发布
最新推荐文章于 2024-05-05 22:22:02 发布
阅读量715 收藏 1
点赞数
文章标签: 过滤器 中间件 java leetcode c#
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654086226&idx=4&sn=153ed4cc709745b859385a38a4125c12&chksm=80d80007b7af891164cef75d95177bee8b50b79a7c0a3400b5f20891031d526594a660d3efbd&scene=126&&sessionid=0
版权

咨询区

  • jltrem

我想在 ASP.NET Core 中用 authorization 特性实现一个自定义验证,在之前的版本中,我可以用系统提供的 bool AuthorizeCore(HttpContextBase httpContext) 方法,但在这个版本中已经没有该方法了。

请问当前我该如何实现这个自定义的 AuthorizeAttribute 呢?

回答区

  • gius

看样子你用的是 ASP.NET Core 2,当然现在你也可以实现,继承 AuthorizeAttribute 并实现 IAuthorizationFilter 接口即可,参考代码如下:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class CustomAuthorizeAttribute : AuthorizeAttribute, IAuthorizationFilter
{
    private readonly string _someFilterParameter;

    public CustomAuthorizeAttribute(string someFilterParameter)
    {
        _someFilterParameter = someFilterParameter;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var user = context.HttpContext.User;

        if (!user.Identity.IsAuthenticated)
        {
            // it isn't needed to set unauthorized result 
            // as the base class already requires the user to be authenticated
            // this also makes redirect to a login page work properly
            // context.Result = new UnauthorizedResult();
            return;
        }

        // you can also use registered services
        var someService = context.HttpContext.RequestServices.GetService<ISomeService>();

        var isAuthorized = someService.IsUserAuthorized(user.Identity.Name, _someFilterParameter);
        if (!isAuthorized)
        {
            context.Result = new StatusCodeResult((int)System.Net.HttpStatusCode.Forbidden);
            return;
        }
    }
}

  • Kévin Chalet

对于纯碎的授权,比如说只能给某些用户一些特定的访问权限,现在推荐的做法是使用新的授权块。

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.Configure<AuthorizationOptions>(options =>
        {
            options.AddPolicy("ManageStore", policy => policy.RequireClaim("Action", "ManageStore"));
        });
    }
}

public class StoreController : Controller
{
    [Authorize(Policy = "ManageStore"), HttpGet]
    public async Task<IActionResult> Manage() { ... }
}

对于授权,最好在中间件层面做处理,回过头来说,你确定现在的做法是正确的吗?

点评区

确实在 ASP.NET Core 5 时代,更好的方式应该是用 中间件 实现,而不是深入到业务体之后再用过滤器的方式来实现,当然你也可以用过滤器。

dotNET跨平台
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebApi授权拦截——重写AuthorizeAttribute
08-12
webapi重写Authorize的HandleUnauthorizedRequest,让服务端返回json,并且把401改为其他状态码来避免被重定向
asp.net core 5.0 身份验证与授权 demo
01-05
使用visual studio 2019 创建的 asp.net core 5.0 web application 项。 startup类注册使用Authentication和Authorization中间件服务,在controller或action使用AuthorizeAttribute和AllowAnonymousAttribute控制访问权限。 详见代码,都有注释。
ASP.NET MVC实用技术:自定义AuthorizeAttribute与ActionLink的隐藏
DreamWeaver2015的博客
03-23 154
在有些情况下,我们希望界面上的Action Link不仅仅是限制未授权用户的进一步访问,而是对于这些用户直接隐藏。比如,以普通用户登录时,只能在页面上看到一些常规的链接,而以管理员身份登录时,除了能看到这些常规链接外,还能够看到网站管理的链接。本文将介绍如何使用自定义AuthorizeAttribute来实现这样的功能。 为了方便介绍,在这里不打算使用那些复杂的权限管理子系统或者权限...
ASP.NET MVC权限验证 封装类
weixin_33816946的博客
10-25 84
  写该权限类主要目地 为了让权限配置更加的灵活,可以根据SQL、json、或者XML的方式来动态进行页面的访问控制,以及没有权限的相关跳转。   使用步骤   1、要建一个全局过滤器 //受权过滤器 public class AuthorizeFilter : AuthorizeAttribute { public override ...
MVC3权限验证,诡异的OnAuthorization
weixin_30349597的博客
09-11 363
mvc3权限验证 protected override void OnAuthorization(AuthorizationContext filterContext) { if (//开始权限验证返回bool) { filterContext.Result = new Re...
ASP.NET MVC授权登录过滤器OnAuthorization过滤器AuthorizeAttribute使用
u011511086的专栏
04-21 2886
using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Web; using System.Web.Mvc; using Autofac; using WuZiFenGongSiInfomation.Common; using WuZiF...
如何在ASP.NET Core创建自定义授权属性?这有答案
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
03-23 486
Telerik UI for ASP.NET Core R1 2021 SP1下载 Telerik UI for ASP.NET Core是用于跨平台响应式Web和云开发的最完整的UI工具集,拥有超过60个由Kendo UI支持的ASP.NET核心组件。它的响应式和自适应的HTML5网格,提供从过滤、排序数据到分页和分层数据分组等100多项高级功能。 在ASP.NET Core MVC,使用AuthorizeAttribute类执行授权。 这是一个使用基于角色授权的简单示例: [Authorize
ASP.NET Core 认证与授权[6]:授权策略是怎么执行的?
weixin_30414245的博客
09-24 302
在上一章,详细介绍了 ASP.NET Core 的授权策略,在需要授权时,只需要在对应的Controler或者Action上面打上[Authorize]特性,并指定要执行的策略名称即可,但是,授权策略是怎么执行的呢?怀着一颗好奇的心,忍不住来探索一下它的执行流程。 目录 MVC的授权 AuthorizationApplicationModelProvider ...
Asp.Net Core AuthorizeAttributeAuthorizeFilter 跟进及源码解读
Jlion 技术博客
03-25 2780
一、前言 IdentityServer4已经分享了一些应用实战的文章,从架构到授权心的落地应用,也伴随着对IdentityServer4掌握了一些使用规则,但是很多原理性东西还是一知半解,故我这里持续性来带大家一起来解读它的相关源代码,本文先来看看为什么Controller或者Action添加Authorize或者全局添加AuthorizeFilter过滤器就可以实现该资源受到保护,需要通过...
ASP.NET MVC AuthorizeAttribute
JunChow
08-29 554
AuthorizeAttributeASP.NET MVC 的过滤器之一,又称为认证和授权过滤器,即判断登录与否授权与否。当为某个控制器或动作方法附加该特性时,没有登录或授权的账户是不能访问对应的控制器或动作方法的。 在进入一个附加Authorize特性的控制器或动作之前,首先执行的是 AuthorizeAttribute 类的 OnAuthorization(Authori...
详解.Net Core 权限验证与授权(AuthorizeFilter、ActionFilterAttribute
10-17
主要介绍了.Net Core 权限验证与授权(AuthorizeFilter、ActionFilterAttribute),文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
AuthorizeAttribute.Extended:这提供了一个库,将ASP.NET MVC AuthorizeAttribute类上的403错误与401错误分开
05-19
AuthorizeAttribute Extended基于身份验证和/或授权结果将403(禁止)错误代码与401(未授权)错误代码分开,而ASP.NETAuthorizeAttribute类仅返回401(未授权)错误代码。 包装状态 AuthorizeAttribute扩展 入门 ...
Asp.Net MVC WebAPI身份验证Demo_v1.0.0
11-08
项目经常需要使用WebAPI编写接口提供给其他人调用, 那么接口就需要进行身份验证,否则只要知道了这个接口的地址都可以访问了 ...主要通过重新AuthorizeAttribute内OnAuthorization方法进行身份验证
.NET Core 自定义授权和认证
qq_62739010的博客
05-04 1637
.NET Core 自定义授权和认证
.net core webapi 使用Authorize身份认证
热门推荐
清雨小竹
02-08 1万+
1.使用JWT身份认证模式,引入库:IdentityServer4.AccessTokenValidation2.在StartUp.cs添加加密秘钥串:public static readonly SymmetricSecurityKey symmetricKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes("need_to_get_th...
ASP.NET Core自定义权限验证
weixin_30519071的博客
04-24 2563
效果图: 如果没有权限时,显示: 代码: public class AuthorizeAdminAttribute : TypeFilterAttribute { #region 字段 private readonly bool _ignoreFilter; #end...
ASP.NET Core 同时支持多种认证方式
dotNET跨平台
08-25 627
前言上次,我们实现了《ASP.NET Core 自定义认证》:services.AddAuthentication(option=> { option.DefaultAuthenticateScheme=DemoAuthenticationOptions.Scheme; option.DefaultChallengeScheme=DemoAuthentication...
中间件的使用
最新发布
2303_77327646的博客
05-05 117
【代码】中间件的使用。
asp.net core Authorize
08-26
ASP.NET Core,如果你想创建自定义授权属性,你可以继承`AuthorizeAttribute`类并重写`OnAuthorization`方法。在以前的版本,可以重写`AuthorizeCore`方法来实现自定义授权逻辑,但在ASP.NET Core,`AuthorizeCore`方法已经被移除了。 虽然ASP.NET Core安全团队建议不要创建自己的解决方案,但在某些情况下,这可能是最明智的选择。通过继承`AuthorizeAttribute`并重写`OnAuthorization`方法,你可以实现自定义的授权逻辑,例如检查用户的角色或权限,并根据需要进行相应的授权处理。在`OnAuthorization`方法,你可以访问`HttpContext`对象来获取当前请求的上下文信息,从而进行授权判断和处理。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [如何在ASP.NET Core创建自定义AuthorizeAttribute?](https://blog.csdn.net/p15097962069/article/details/106636322)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值