如何根据声明授权访问静态文件
How to authorize access to static files based on claims
静态文件可能要求用户通过身份验证 per documentation
根据具体声明,我无法找到任何关于限制授权访问静态文件的信息。
例如声明为“A”和“B”的用户可以访问文件夹 A 和 B,而只有声明“B”的用户只能访问文件夹 B
我如何使用 .NET 6.0/webAPI/静态文件“尽可能简单地”完成此操作?
来自链接示例;
builder.Services.AddAuthorization(options =>
{
options.FallbackPolicy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
});
您可以通过调用任何 .Require... 方法来构建您想要的任何策略。例如;
builder.Services.AddAuthorization(options =>
{
options.FallbackPolicy = new AuthorizationPolicyBuilder()
.RequireClaim("name", "value")
.Build();
});
请注意,回退策略适用于 所有 个没有任何 [Authorize] 元数据的端点。
相反,您可能需要编写一些中间件来检查每个路径的授权规则。也许基于 this sample.
链接示例演示了一个有趣的概念。授权是基于端点的,但是静态文件中间件只是接管了响应,没有使用端点路由。那么如果我们根据文件提供者生成我们自己的端点元数据呢;
.Use((context, next) => { SetFileEndpoint(context, files, null); return next(context); });
这是可行的,但如果我们只是定义了一个假端点呢?
app.UseAuthentication();
app.UseAuthorization();
app.UseStaticFiles();
app.UseEndpoints(endpoints => {
endpoints.MapGet("static/pathA/**",
async (context) => context.Response.StatusCode = 404)
.RequireAuthorization("PolicyA");
});
当然,您可以将该虚拟路径映射到控制器。
目前没有built-in保护wwwroot目录的方法,我觉得你可以暴露一个端点,然后在端点中进行判断,这是一个非常简单的方法,如你所料,在你的问题中,你想访问静态文件 A only user with claims A,我在这里写了一个类似的演示,希望它能帮助你解决你的问题。
首先我在 wwwroot.
中有一个名为“AAA”的静态文件
我在这里使用Asp.Net Core Identity,现在我以用户身份登录,然后我向这个用户添加声明。
//the claim's type and value is the same with static file name
Claim claim = new Claim("AAA", "AAA");
await _userManager.AddClaimAsync(user,claim);
然后我暴露一个端点来获取静态路径然后做判断:
//Add [Authorize] attribute, the controller can only be accessed when the user is logged in
[Authorize]
public class TestController : Controller
{
//Pass in the name of the static file that needs to be accessed, and then use claim to authorize
public IActionResult Find(string path)
{
var value = IHttpContextAccessor.HttpContext.User.Claims.Where(e => e.Type == path ).Select(e => e.Value).FirstOrDefault();
if(value !=null && value == path) {
//authorize success
//read the static file and do what you want
}else{
//authorize fail
}
}
}
查看
//use asp-route-path="AAA" to pass the value of path
<a asp-controller="Test" asp-action="Find" asp-route-path="AAA">AAA</a>
<a asp-controller="Test" asp-action="Find" asp-route-path="BBB">BBB</a>
//.......
静态文件可能要求用户通过身份验证 per documentation
根据具体声明,我无法找到任何关于限制授权访问静态文件的信息。
例如声明为“A”和“B”的用户可以访问文件夹 A 和 B,而只有声明“B”的用户只能访问文件夹 B
我如何使用 .NET 6.0/webAPI/静态文件“尽可能简单地”完成此操作?
来自链接示例;
builder.Services.AddAuthorization(options =>
{
options.FallbackPolicy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.Build();
});
您可以通过调用任何 .Require... 方法来构建您想要的任何策略。例如;
builder.Services.AddAuthorization(options =>
{
options.FallbackPolicy = new AuthorizationPolicyBuilder()
.RequireClaim("name", "value")
.Build();
});
请注意,回退策略适用于 所有 个没有任何 [Authorize] 元数据的端点。
相反,您可能需要编写一些中间件来检查每个路径的授权规则。也许基于 this sample.
链接示例演示了一个有趣的概念。授权是基于端点的,但是静态文件中间件只是接管了响应,没有使用端点路由。那么如果我们根据文件提供者生成我们自己的端点元数据呢;
.Use((context, next) => { SetFileEndpoint(context, files, null); return next(context); });
这是可行的,但如果我们只是定义了一个假端点呢?
app.UseAuthentication();
app.UseAuthorization();
app.UseStaticFiles();
app.UseEndpoints(endpoints => {
endpoints.MapGet("static/pathA/**",
async (context) => context.Response.StatusCode = 404)
.RequireAuthorization("PolicyA");
});
当然,您可以将该虚拟路径映射到控制器。
目前没有built-in保护wwwroot目录的方法,我觉得你可以暴露一个端点,然后在端点中进行判断,这是一个非常简单的方法,如你所料,在你的问题中,你想访问静态文件 A only user with claims A,我在这里写了一个类似的演示,希望它能帮助你解决你的问题。
首先我在 wwwroot.
我在这里使用Asp.Net Core Identity,现在我以用户身份登录,然后我向这个用户添加声明。
//the claim's type and value is the same with static file name
Claim claim = new Claim("AAA", "AAA");
await _userManager.AddClaimAsync(user,claim);
然后我暴露一个端点来获取静态路径然后做判断:
//Add [Authorize] attribute, the controller can only be accessed when the user is logged in
[Authorize]
public class TestController : Controller
{
//Pass in the name of the static file that needs to be accessed, and then use claim to authorize
public IActionResult Find(string path)
{
var value = IHttpContextAccessor.HttpContext.User.Claims.Where(e => e.Type == path ).Select(e => e.Value).FirstOrDefault();
if(value !=null && value == path) {
//authorize success
//read the static file and do what you want
}else{
//authorize fail
}
}
}
查看
//use asp-route-path="AAA" to pass the value of path
<a asp-controller="Test" asp-action="Find" asp-route-path="AAA">AAA</a>
<a asp-controller="Test" asp-action="Find" asp-route-path="BBB">BBB</a>
//.......