在 Asp.net 核心中决定是否在 per-request 基础上使用授权

Deciding to use Authorization or not on a per-request basis in Asp.net Core

我正在开发一个 ASP.net 核心 MVC 2.2 应用程序,目前我在我的控制器操作上使用经典的 [Authorize][AllowAnonymous] 属性来决定某个操作可以匿名访问或需要授权。

但是,我有一个要求,只有当 http 请求中缺少某个 header 时,某些操作才需要授权。通常我会通过简单地使用这样的东西来实现它:

[HttpGet]
[AllowAnonymous]
public IActionResult SomeAction()
{
    if (!Request.Headers.ContainsKey("something"))
    {
        return RedirectToAction("SomeActionWithAuth");
    }
    ...
}

[HttpGet]
[Authorize]
public IActionResult SomeActionWithAuth()
{
    ...
}

然而,在这种特殊情况下,我有一个严格的要求来避免重定向,所以我不能使用这种方法。

所以我的问题是:

创建您自己的授权策略来处理此问题。

public class HeaderRequirement : IAuthorizationRequirement
{
    public HeaderRequirement(string header)
    {
        Header = header;
    }

    public string Header { get; }
}

public class HeaderRequirementHandler : AuthorizationHandler<HeaderRequirement>
{
    protected override Task HeaderRequirementHandler (
        AuthorizationHandlerContext context,
        HeaderRequirement requirement)
    {
        var hasHeader = context.Request.Headers.ContainsKey(requirement.Header);
        if (hasHeader) // if we have the header
        {
            context.Succeed(requirement); // authorization successful
        }

        return Task.CompletedTask;
    }
}

将处理程序注册为服务

services.AddScoped<IAuthorizationHandler, HeaderRequirementHandler>();

将策略添加到授权服务

services.AddAuthorization(options =>
    {
        options.AddPolicy("SomeHeader", policy =>
            policy.Requirements.Add(new HeaderRequirement("SomeHeader")));
    });

现在你可以这样使用了:[Authorize(Policy = "SomeHeader")]

如果你需要它更动态一点,如果你不想注册每一个 header 可能被验证但宁愿在 run-time 解释。你可以写你自己的 policy provider