【发布时间】:2019-04-26 11:12:48
【问题描述】:
我正在处理要求,其中我检查了我们的请求标头是否包含授权标头,并基于该标头调用另一个服务器并返回 403。目前我通过创建自定义 ActionAttribute 来完成它,如下所示:
public class ValidateAuthHeaderAttribute: ActionFilterAttribute
{
private readonly ILogger<ValidateAuthHeaderAttribute> _logger;
public ValidateAuthHeaderAttribute(ILogger<ValidateAuthHeaderAttribute> logger)
{
_logger = logger;
}
public override void OnActionExecuting(ActionExecutingContext context)
{
var httpContext = context.HttpContext;
if (httpContext.Request.Headers.ContainsKey("Authorization"))
{
return;
}
var failureResponse = new FailureResponseModel
{
Result = false,
ResultDetails = "Authorization header not present in request",
Uri = httpContext.Request.Path.ToUriComponent(),
Timestamp = DateTime.Now.ToString("s", CultureInfo.InvariantCulture),
Error = new Error
{
Code = 108,
Description = "Authorization header not present in request",
Resolve = "Send Request with authorization header to avoid this error."
}
};
var responseString = JsonConvert.SerializeObject(failureResponse);
context.Result = new ContentResult
{
Content = responseString,
ContentType = "application/json",
StatusCode = 403
};
}
}
我正在像这样在我的控制器/方法中使用这个自定义属性。
[TypeFilter(typeof(ValidateAuthHeaderAttribute))]
现在一切正常,但我正在阅读 .Net Core doc 中的基于策略的授权。因此,现在建议使用策略。我在想可以将我的代码移植到自定义策略。
【问题讨论】:
-
这看起来像是我之前回答的question 的扩展。由于您的场景非常简单,并且您没有任何身份验证/授权集成,因此 ActionFilter 就足够了。
-
我会尝试更新我之前上传到 GitHub 的代码以方便解决。
-
在我继续更新代码之前,在我看来,自定义授权策略的实施对于您的场景来说是多余的。事实是,当您进行授权时,
[Authorize]过滤器将自动检查您的 AuthHeader。您可以执行类似 [Authorize(Policy = "MyPolicy")] 的操作,但它仍会检查 AuthHeader 是否存在。如果是 Bearer 令牌,它携带的所有声明都将添加到 HttpContext.User.Claims 的 Claims 属性中。然后您可以使用该策略来验证用户是否有特定的声明或用户是否经过身份验证等 -
由于您需要使用 Authorization 标头来使用
HttpClient进行后续课程,我认为在这种情况下使用授权策略不会对您有所帮助。添加了授权策略以允许更多自定义类型的授权,而不仅仅是基于角色的授权
标签: c# asp.net-core