在 Asp.net core / 5 中使用 Policy Base 进行令牌认证

Question

我将令牌从客户端发送到服务器

“授权：承载 eyJhbGciOiJodHR……”

我想授权拥有令牌的用户 这是我的代码。

services.AddAuthorization(auth =>
{
    auth.AddPolicy("Have", new AuthorizationPolicyBuilder()                                 
    .AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme)
    .RequireAuthenticatedUser().Build());
 });



  services.AddMvc(config =>
  {
     var policy = new AuthorizationPolicyBuilder()
       .RequireAuthenticatedUser()
       .Build();
        config.Filters.Add(new AuthorizeFilter(policy));
  });




 app.UseJwtBearerAuthentication(options => 
 { 
   options.AutomaticAuthenticate = false; 
 });

即使我打开 AutomaticAuthenticate，如果为 false，我也会收到 500 错误，然后是 401 错误

    [Authorize(Policy ="Have")]
    [HttpGet]
    [Route("list")]
    public IEnumerable<Products> List()
    {
       .......
    }

Answer 1

对于这种行为，您不需要任何特殊的策略或配置，因为它是默认行为，只允许授权用户访问。没有令牌或过期令牌的用户未经授权，将无法访问具有[Authorize] 属性的控制器/操作。

你只需要

services.AddAuthentication();

和AuthorizeAttributes 在您的操作/控制器上。

策略仅用于验证授权用户的条件，例如，如果用户年满 18 岁（例如，请参阅 this answer），他的生日是 1用户的索赔。

如果用户未获得授权，则该政策将永远得到验证。这意味着Authorize 将始终失败并拒绝访问。