那些遇到过的问题

在ASP .NET 5中默认阻止匿名访问

ZeR*_*emz 5 c# asp.net-core-mvc asp.net-core

我的团队和我正在ASP .NET 5中启动一个新的网站项目,我正在尝试建立我们的用户身份验证和授权策略的基础.

到目前为止,我已经设法使用[Authorize]和[AllowAnonymous]属性来有选择地定义授权策略控制器或操作.我仍在努力实现的一件事是定义默认授权策略.

基本上,我希望每个控制器和操作的行为都像默认情况下具有[Authorize]属性一样,这样只有匿名用户才能访问专门标记为[AllowAnonymous]的操作.否则,我们预计,在某些时候,有人会忘记向其控制器添加[Authorize]属性并将漏洞引入webapp.

我的理解是,通过在FilterConfig.cs中添加以下语句,可以在以前版本的ASP .NET中实现我想要做的事情:

filters.Add(new AuthorizeAttribute());
Run Code Online (Sandbox Code Playgroud)

...除了在MVC 6中不再存在FilterConfig.cs.根据如何使用mvc 6注册全局过滤器,asp.net 5我现在可以使用以下命令访问全局过滤器列表:

services.ConfigureMvc(options =>
{
   options.Filters.Add(new YouGlobalActionFilter());
}
Run Code Online (Sandbox Code Playgroud)

...尝试过,看起来不错,但现在它是我无法找到的AuthorizeAttribute过滤器.

出于实验目的,我试图手工创建一个与AuthorizeAttribute过滤器等效的过滤器,并提出以下建议:

public class LoginFilter: AuthorizeFilter
{
    public LoginFilter(): base(new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build())
    {

    }

    public override Task OnAuthorizationAsync(Microsoft.AspNet.Mvc.AuthorizationContext context)
    {
        if(!context.HttpContext.User.Identity.IsAuthenticated && context.ActionDescriptor is ControllerActionDescriptor)
        {
            var action = context.ActionDescriptor as ControllerActionDescriptor;
            if(!AcceptAnonymous(action.ControllerTypeInfo) && !AcceptAnonymous(action.MethodInfo))
            {
                context.HttpContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
            }
        }
        return base.OnAuthorizationAsync(context);
    }

    private static bool AcceptAnonymous(ICustomAttributeProvider o)
    {
        return o.IsDefined(typeof(AllowAnonymousAttribute), true);
    }
}
Run Code Online (Sandbox Code Playgroud)

这种方式有用...我可以将它添加到全局筛选器列表中,它会拒绝来自未经身份验证的用户的查询,除非查询被解析为标记为[AllowAnonymous]的操作.

然而...

  • AuthorizationPolicyBuilder的东西是丑陋和误导性的:它没有任何用途,在整个处理过程中显然被忽略了.我添加它的唯一原因是AuthorizeFilter在其构造函数中需要AuthorizationPolicy.我想,但还没有尝试过,直接实现IAsyncAuthorizationFilter可以解决这个特殊问题

  • 这段代码中没有任何内容特定于我的webapp,并且该功能显然是在以前版本的框架中提供的,所以我愿意打赌已经(或者很快就会有)组件做了完全相同的事情,而我我宁愿使用框架中的标准组件而不是手工制作我自己的组件.

那么,长话短说,AuthorizeAttribute过滤器去了哪里?或者是否有任何功能等价物可以用来拒绝匿名用户的默认行为?

Ale*_*ese 8

您可以使用Microsoft.AspNet.Mvc.AuthorizeFilter.

using Microsoft.AspNet.Mvc;
using Microsoft.AspNet.Authorization;

services.ConfigureMvc(options =>
{
   options.Filters.Add(new AuthorizeFilter(new AuthorizationPolicyBuilder().RequireAuthenticatedUser().Build()));
});
Run Code Online (Sandbox Code Playgroud)

如果您需要自定义授权要求,请参阅此答案以获取更多信息

  • 事实上,你不能没有一个AuthorizationPolicy参数实例化一个AuthorizeFilter ...我得到它通过传递它的工作"新AuthorizationPolicyBuilder().RequireAuthenticatedUser().建立()" (3认同)

归档时间:

查看次数:

2764 次

最近记录:

9 年,6 月 前
如何在ASP.NET Core中创建自定义AuthorizeAttribute? 362
如何使用mvc 6,asp.net 5注册全局过滤器 17
更多相关链接
相关归档
等到过程结束 194
用Sha256哈希一个字符串 136
使用返回值调用存储过程 72
现在为什么网络应用程序会因await/async而疯狂? 44
命名空间.AspNetCore.Hosting vs .Extensions.Hosting 11
ASP.NET Core 应用程序的 CPU 峰值/等待时间 8
ASP.net Core中正确的标记用法是什么?TagHelpers与HTML Helper 5
Azure上的架构更新:列名称不存在 5
如何在asp.net core MVC控制器中使用ReadAsStringAsync? 5
是否可以在控制器内执行 ViewComponent 并将 HTML 存储为字符串 3
难疑归档
如何在ActionScript 3中将"Null"(真正的姓氏!)传递给SOAP Web服务? 4603
最终C++书籍指南和列表 4246
如何将某些内容附加到数组中? 2895
使用__init __()方法理解Python super() 2366
如何使用JavaScript漂亮地打印JSON? 2222
在终端上打印颜色? 1929
如何查看Git提交中的更改? 1364
"javascript:void(0)"是什么意思? 1292
如何在JavaScript正则表达式中访问匹配的组? 1277
shell脚本中的YYYY-MM-DD格式日期 1045