具有多个要求的自定义授权策略在应用于控制器操作时不起作用

Question

具有多个要求的自定义授权策略在应用于控制器操作时不起作用

rea*_*kep 3 authorize-attribute asp.net-core asp.net-core-webapi

我有一个 .NET Core 3 WebAPI，我想在其中使用基于自定义策略的授权，其中其中一项策略有多个要求。

我已将策略添加Startup.ConfigureServices()到MyCustomPolicyHandlerDI 中：

public virtual void ConfigureServices(IServiceCollection services)
{
    services.AddAuthorization(options =>
    {
        options.AddPolicy("MyCustomPolicy", policy =>
        {
            policy.Requirements.Add(new RequirementA());
            policy.Requirements.Add(new RequirementB());
            policy.Requirements.Add(new RequirementC());
            policy.Requirements.Add(new RequirementD());
            
        });
        
        services.AddScoped<IAuthorizationHandler, MyCustomPolicyHandler>();
        
    });                
}

Run Code Online (Sandbox Code Playgroud)

我已经MyCustomPolicyHandler使用本文档中的示例实现了： ASP.NET Core 中的基于策略的授权

public class MyCustomPolicyHandler: IAuthorizationHandler
{

    public Task HandleAsync(AuthorizationHandlerContext context)
    {
    
        var pendingRequirements = context.PendingRequirements.ToList();         
        
        Console.WriteLine($"MyCustomPolicyHandler: {pendingRequirements.Count} requirements");
        
        foreach (var requirement in pendingRequirements)
        {
            if(requirement is RequirementA) {
            
                // do stuff to check the requirements
                context.Succeed(requirement);
                
            }
            else if(requirement is RequirementB) {
                
                // do stuff to check the requirements
                context.Succeed(requirement);
            
            }
            else if(requirement is RequirementC) {
            
                // do stuff to check the requirements
                context.Succeed(requirement);
                
            }
            else if(requirement is RequirementD) {
                
                // do stuff to check the requirements
                context.Succeed(requirement);
            
            }
        }
        
        return Task.CompletedTask;
    
    }
}

Run Code Online (Sandbox Code Playgroud)

接下来，我将该策略应用于控制器操作之一：

public class MyController 
{
    [HttpGet]
    [Authorize(Policy="MyCustomPolicy")]    
    public ActionResult<SomeViewModel> Get(int id) {
    
        // do stuff
        
        return Ok(vm);
    }

}

Run Code Online (Sandbox Code Playgroud)

我遇到的问题是没有与该策略相关的要求。该Console.WriteLine()消息显示 0 个要求：

MyCustomPolicyHandler: 0 requirements

Run Code Online (Sandbox Code Playgroud)

如果我将策略移至控制器，则存在以下要求：

[Authorize(Policy="MyCustomPolicy")]
public class MyController 
{
    [HttpGet]
    public ActionResult<SomeViewModel> Get(int id) {
    
        // do stuff
        
        return Ok(vm);
    }

}

Run Code Online (Sandbox Code Playgroud)

MyCustomPolicyHandler: 4 requirements

Run Code Online (Sandbox Code Playgroud)

但是，我需要将此策略应用于操作，而不是控制器。[Authorize(Policy="MyCustomPolicy")] 属性应该在操作级别起作用。

知道为什么这不起作用吗？

谢谢。

Answer 1

Kar*_*ey. 5

因为注射的地方MyCustomPolicyHandler放错了位置。它需要放置在之外AddAuthorization。

services.AddAuthorization(options =>
{
     options.AddPolicy("MyCustomPolicy", policy =>
     {
         policy.Requirements.Add(new RequirementA());
         //...
     });          
});

services.AddScoped<IAuthorizationHandler, MyCustomPolicyHandler>();

Run Code Online (Sandbox Code Playgroud)

结果：

归档时间：	5 年，2 月前
查看次数：	1829 次
最近记录：	4 年，4 月前