c# - 未调用 ASP.NET Core AuthorizationHandler

Question

我正在尝试添加一些基于授权的自定义角色，但我无法将 Startup 配置为调用我的 AuthorizationHandler。

在GitHub上找到了一些相关资料:here .这是不是错误？

我正在使用 ASP.NET Core 3.1 并且我的初始化如下:

1:这使用 Dapper ORM 从数据库中检索 url/角色:

private List<UrlRole> GetRolesRoutes()
{
    var urlRole = DapperORM.ReturnList<UrlRole>("user_url_role_all");
    return urlRole.Result.ToList();
}

2:在我的 Startup 中，我获取 url/roles 并将结果存储在一个全局变量中:

public Startup(IConfiguration configuration, IWebHostEnvironment env)
{
    this.environment = env;
    UrlRoles = GetRolesRoutes();
}

3:我的配置是:注意传递的UrlRoles

 public void ConfigureServices(IServiceCollection services)
 {
     // .. snip   
     services.AddAuthorization(o =>
     o.AddPolicy(_RequireAuthenticatedUserPolicy,
            builder => builder.RequireAuthenticatedUser()));

     services.AddAuthorization(options =>
     {
         options.AddPolicy("Roles", policy =>
         policy.Requirements.Add(new UrlRolesRequirement(UrlRoles)));
     });


    services.AddSingleton<AuthorizationHandler<UrlRolesRequirement>, PermissionHandler>();
}

5: 我的处理程序:未被调用

public class PermissionHandler : AuthorizationHandler<UrlRolesRequirement>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, UrlRolesRequirement urlRolesRequirement)
    {
        var pendingRequirements = context.PendingRequirements.ToList();
        foreach (var requirement in pendingRequirements)
        {
        }
        return Task.CompletedTask;
    }
}

6: 我的需求类:

public class UrlRolesRequirement : IAuthorizationRequirement
{
    private List<UrlRole> UrlRoles { get; }

    public UrlRolesRequirement(List<UrlRole> urlRoles)
    {
        UrlRoles = urlRoles;
    }      
}

---

当我调试 ASP.NET Core AuthorizationHandler 时，我从未将我的自定义要求视为一项要求，我在 Startup.我希望看到需求，如果存在需求，那么我假设会发生“回调”。但由于某种原因，我的配置未能添加要求。

public virtual async Task HandleAsync(AuthorizationHandlerContext context)
{
    if (context.Resource is TResource)
    {
        foreach (var req in context.Requirements.OfType<TRequirement>())
        {
            await HandleRequirementAsync(context, req, (TResource)context.Resource);
        }
    }
}

Answer 1

在不告知 ASP.NET Core 这样做的情况下，它不会使用您配置的策略来授权任何内容。授权策略使您可以预定义复杂的授权条件，以便您可以在需要时重用此行为。然而，默认情况下它并不适用，并且它不能考虑您已经配置了两个策略:应该应用其中的哪一个？他们都？那为什么要配置单独的策略呢？

因此，除非您明确告知框架，否则不会使用任何策略来授权用户。一种常见的方法是将 [Authorize] 属性与策略名称一起使用。您可以将它放在 Controller 操作上，也可以放在 Controller 本身上，以使其所有操作都通过此策略授权:

[Authorize("Roles")] // ← this is the policy name
public class ExampleController : Controller
{
    // …
}

如果您有一个大部分时间想要使用的策略来授权用户，那么您可以将此策略配置为默认值:

services.AddAuthorization(options =>
{
    options.DefaultPolicy = new AuthorizationPolicyBuilder()
        .RequireAuthenticatedUser()
        .Build();
}

例如，这将定义一个默认需要经过身份验证的用户的策略。因此，每当您使用 [Authorize] 属性时， 都没有指定明确的策略，那么它将使用 那个 默认策略。

这一切仍然需要您以某种方式标记您需要授权的路线。除了使用 [Authorize] 属性外，您还可以在更集中的位置执行此操作:Startup 中的 app.UseEndpoints() 调用类。

endpoints.MapControllerRoute(
        name: "default",
        pattern: "{controller=Home}/{action=Index}/{id?}")
    .RequireAuthorization("Roles");

这是 Controller 的默认路由模板，但调用了 RequireAuthorization，这基本上需要在与此路由模板匹配的所有路由上使用 Roles 授权策略。

您还可以使用这个地方为您的不同路由配置不同的默认授权策略:通过拆分您的路由模板，您可以使用不同的路由模板多次调用 MapControllerRoute，这些模板都指定了它们自己的授权政策。

I was thinking that instead of decorating each and every controller or action, I rather wanted to have some pre-configuration map in a DB, and then in the pipeline verify the users role or roles which are allocated when the user authenticates. When the user then tries to access a url, the users role gets verified and access is granted or rejected.

您可以将用户获得授权的逻辑移至验证您的要求的授权处理程序中。不过，您仍然会为要测试的所有路由启用具有此要求的策略。

但是，我通常不建议这样做:授权要求本来就是简单的，而且您通常希望能够验证它们而不访问数据库或其他外部资源。您希望直接使用用户的声明来快速决定用户是否有权访问某些内容。毕竟，这些检查会针对每个请求运行，因此您希望加快速度。基于声明的授权的一个主要好处是您不需要在每次请求时都访问数据库，因此您应该通过确保授权用户所需的一切都在他们的声明中可用来保持这一优势。