.NetCore中如果实现权限控制的问题,当我们访问到一个Action操作的时候,我们需要进行权限控制
基于claims 角色控制
基于角色控制总觉得范围有点过大,而且控制起来感觉也不是太好,举一个例子就是,一个添加操作Action,如果通过角色控制,通过写起来就有点痛苦
如果一个添加操作有20个角色都可以访问,那么在角色上需要指定好所有的角色,通过用户中的角色Claims匹配访问
通过Claims中的
claims.Add(new Claim(ClaimTypes.Role, "rolecode"));
[Authorize(Roles ="rolecode")]
当然也可以通过自定实现 接口,下面功能点类似的方式,通过角色服务获取判断,这里需要处理的就是获取 角色属性上的角色名称 ActionDescriptor 、 IAuthorizeData 获取 Role的值
if (!context.HttpContext.User.IsInRole("rolename"))
{
context.Result = new ForbidResult();
}
基于策略控制
当然也可以通过策略处理,策略就是一个大杂烩,提供了不同的配置方案如下面给出的例子
[Authorize(Policy ="policyname")]
services.AddAuthorization(options => {
options.AddPolicy("policyname", policy => {