在 Asp.net Core 中根据请求决定是否使用授权

Question

我正在开发一个 ASP.net 核心 MVC 2.2 应用程序，目前我在控制器操作上使用经典的 [Authorize] 和 [AllowAnonymous] 属性来决定是否可以匿名访问某个操作或需要授权.

但是，我有一个要求，即仅当 http 请求中缺少某个标头时，某些操作才需要授权。通常我会通过简单地实现这一点：

[HttpGet]
[AllowAnonymous]
public IActionResult SomeAction()
{
    if (!Request.Headers.ContainsKey("something"))
    {
        return RedirectToAction("SomeActionWithAuth");
    }
    ...
}

[HttpGet]
[Authorize]
public IActionResult SomeActionWithAuth()
{
    ...
}

但是，在这种特殊情况下，我对避免重定向有严格的要求，所以我不能使用这种方法。

所以我的问题是：

• 有没有办法在请求到达控制器之前拦截请求，并在运行时根据每个请求决定请求是否需要身份验证？
• 如果这不可能，是否有办法在运行时决定将请求路由到哪个控制器/动作？ （这样我就可以进行与上述类似的设置，两个操作具有不同的身份验证要求，但不会在客户端引起实际的 HTTP 重定向，这是我无法做到的）

Answer 1

创建您自己的授权策略来处理此问题。

public class HeaderRequirement : IAuthorizationRequirement
{
    public HeaderRequirement(string header)
    {
        Header = header;
    }

    public string Header { get; }
}

public class HeaderRequirementHandler : AuthorizationHandler<HeaderRequirement>
{
    protected override Task HeaderRequirementHandler (
        AuthorizationHandlerContext context,
        HeaderRequirement requirement)
    {
        var hasHeader = context.Request.Headers.ContainsKey(requirement.Header);
        if (hasHeader) // if we have the header
        {
            context.Succeed(requirement); // authorization successful
        }

        return Task.CompletedTask;
    }
}

将处理程序注册为服务

services.AddScoped<IAuthorizationHandler, HeaderRequirementHandler>();

将策略添加到授权服务

services.AddAuthorization(options =>
    {
        options.AddPolicy("SomeHeader", policy =>
            policy.Requirements.Add(new HeaderRequirement("SomeHeader")));
    });

现在你可以像这样使用它：[Authorize(Policy = "SomeHeader")]

如果您需要它更动态一点，如果您不想注册每个可能经过身份验证的标头，而是在运行时进行解释。你可以写你自己的policy provider