В моем приложении ASP .NET Core 3.1 MVC я использую маршрутизацию конечной точки следующим образом

        app.UseEndpoints(endpoints =>
        {
            endpoints.MapControllerRoute(
                name: "default",
                pattern: "{controller=Home}/{action=Index}/{id?}");

            endpoints.MapControllerRoute(
                name: "access",
                pattern: "access/",
                defaults: new { controller = "Home", action = "Access" });
        });

Таким образом, переход к / access запускает действие Access, где приложение проверяет, соответствует ли пользователь некоторым требованиям доступа.

if (access checks...)
{
    return View();
}

Теперь я предпочел бы иметь эту проверку в пользовательском промежуточном программном обеспечении (или, возможно, в пользовательском атрибуте авторизации), а не в контроллере. Поэтому мой вопрос к вам: как мне переписать вызов UseEndPoints, чтобы включить пользовательское промежуточное ПО для области / access?

6
user2768479 14 Апр 2020 в 21:04

2 ответа

Лучший ответ

Расширение политики авторизации [Authorize]

Вы можете сделать это с помощью политик авторизации. Настройте их в своем Startup.cs внутри ConfigureServices(IServiceCollection services) следующим образом:

services.AddAuthorization(options =>
{
    // Create your own policy and make the "access checks" in there
    options.AddPolicy("MyAccessPolicy", policy => policy.RequireAssertion(httpCtx =>
    {
        if (access checks...)
            return true;
        else
            return false;
    }));
});

Затем вы просто декорируете действие вашего контроллера атрибутом Authorize следующим образом:

[Authorize(Policy = "MyAccessPolicy")]
public IActionResult Access()
{
    return View();
}

Теперь, когда вы попытаетесь перейти к /access, эта политика будет запущена, и если политика вернет false, пользователь встретится с кодом состояния HTTP 403 (Запрещено).

Пользовательское промежуточное ПО сопоставлено с маршрутом

В ответ на ваш комментарий вот пример промежуточного программного обеспечения и как сопоставить его с определенным маршрутом.

Пример из моего собственного проекта с глобальным промежуточным программным обеспечением для обработки ошибок (некоторые несущественные части удалены):

public class ExceptionHandlingMiddleware : IMiddleware
{
    public async Task InvokeAsync(HttpContext context, RequestDelegate next)
    {
        try
        {
            // Call next middleware
            await next(context);
        }
        catch (Exception ex)
        {
            await HandleExceptionAsync(context, ex);
        }
    }

    private async Task HandleExceptionAsync(HttpContext context, Exception ex)
    {
        context.Response.StatusCode = StatusCodes.Status500InternalServerError;
        ErrorDetails error = null;
        if (ex is FileNotFoundException || ex is DirectoryNotFoundException)
        {
            context.Response.StatusCode = StatusCodes.Status404NotFound;
            error = _localizer.FilesOrFoldersNotFound();
        }
        context.Response.ContentType = "application/json";
        await context.Response.WriteAsync(JsonConvert.SerializeObject(
            new CustomResponse(false, error ?? _localizer.DefaultError()),
            _serializerSettings));
        }
    }

Чтобы использовать это промежуточное ПО только для определенных маршрутов, вы можете выполнить , как указано здесь :

// Startup.cs
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    app.Map("path/where/error/could/happen",
        b => b.UseMiddleware<ExceptionHandlingMiddleware>());
    // ...
}

Или проверьте путь внутри самого промежуточного программного обеспечения:

// ExceptionHandlingMiddleware.cs
public async Task InvokeAsync(HttpContext context, RequestDelegate next)
{
    if (!context.Request.Path.StartsWithSegments("path/where/error/could/happen"))
    {
        // Skip doing anything in this middleware and continue as usual
        await next(context);
        return;
    }

    // Use middleware logic 
    try
    {
        // Call next middleware
        await next(context);
    }
    catch (Exception ex)
    {
        await HandleExceptionAsync(context, ex);
    }
}
1
Xerillio 18 Апр 2020 в 00:45

Вы можете расширить AuthorizeAttribute вместе с IAuthorizationFilter в Asp.Net Core

1. Создайте класс, который расширяет AuthorizeAttribute, он будет использоваться поверх контроллера или действия, такого как встроенный атрибут [Authorize] ядра Asp.Net.

2. Реализуйте метод OnAuthorization(AuthorizationFilterContext context), который является частью интерфейса IAuthorizationFilter.

3.Вызовите ключевое слово return без каких-либо дополнительных действий для авторизованного пользователя.

4.Установите результат AuthorizationFilterContext как Неавторизованный для неавторизованных пользователей как context.Result = new UnauthorizedResult()

    public class SampleAuthorizePermission : AuthorizeAttribute, IAuthorizationFilter
{
    public string Permissions { get; set; }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        if (string.IsNullOrEmpty(Permissions))
        {
            context.Result = new UnauthorizedResult();
            return;
        }

        var userName = context.HttpContext.User.Identity.Name;

        var assignedPermissionsForUser =
            MockData.UserPermissions
                .Where(x => x.Key == userName)
                .Select(x => x.Value).ToList();

        var requiredPermissions = Permissions.Split(",");
        foreach (var x in requiredPermissions)
        {
            if (assignedPermissionsForUser.Contains(x))
                return;
        }

        context.Result = new UnauthorizedResult();
        return;
    }
}

И в вашем контроллере

[SampleAuthorizePermission(Permissions = "CanRead")]
    [HttpGet("{id}")]
    public ActionResult<string> Get(int id)
    {
        return "value";
    }
0
Vahid 14 Апр 2020 в 19:34