在点击操作之前授权用户

Question

我想在执行控制器操作之前授权用户。在每个动作中，都有重复的代码行。

有没有一种方法可以让我能够在ControllerBase 中授权用户？

例如，我想有一个CustomControllerBase 将授权逻辑放在那里：

public class CustomBaseController : ControllerBase {
   // authorization logic
}

然后控制器继承自CustomBaseController

public class FooController : CustomBaseController {
}

这是我授权用户的方式：

var userItem = dbService.GetAuthorizedUser(User) // ClaimsPrincipal
if (userItem == null) return Unauthorized(ResponseMessage.UnAuthorized);

前 2 行代码在每个操作中运行。

Answer 1

我建议使用 ASP.NET (Core) 内置的安全功能。

仅授权经过身份验证的用户，除非在控制器或具有全局后备策略的操作上以不同方式指定。

builder.Services.AddAuthorization(options =>
{
    options.FallbackPolicy = new AuthorizationPolicyBuilder()
        .RequireAuthenticatedUser()
        .Build();
});

启用身份验证和授权中间件。

app.UseAuthentication();
app.UseAuthorization();

创建具有所需逻辑的授权要求。

public class DefaultAuthorizationHandler : AuthorizationHandler<OperationAuthorizationRequirement>
{
    private IDbService _dbService;

    public DefaultAuthorizationHandler(IDbService dbService)
    {
        _dbService = dbService;
    }

    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, OperationAuthorizationRequirement requirement)
    {
        // We skip as user is not authenticated. Nothing to authorize
        if (context.User == null)
        {
            return Task.CompletedTask;
        }

        // 
        var userItem = _dbService.GetAuthorizedUser(context.User);

        if (userItem != null)
        {
            context.Succeed(requirement);
        }

        // in some cases you want to have strict requirement
        // to force used to be denied even if other requirements are met.
        // context.Fail();

        return Task.CompletedTask;
    }
}

向 DI 注册授权处理程序。

builder.Services.AddScoped<IAuthorizationHandler, DefaultAuthorizationHandler>();

通过覆盖回退策略使登录端点允许匿名用户。

[AllowAnonymous]
public class LoginController
{
    ...
}

相关资源：

ASP.NET Core security topics