ClaimsAuthorizationManager.CheckAccess(AuthorizationContext) 方法

定義

命名空間:

System.Security.Claims

組件:

System.IdentityModel.dll

當在衍生類別中實作時，會檢查主體在指定上下文中是否授權該資源執行指定動作。

public:
 virtual bool CheckAccess(System::Security::Claims::AuthorizationContext ^ context);

public virtual bool CheckAccess(System.Security.Claims.AuthorizationContext context);

abstract member CheckAccess : System.Security.Claims.AuthorizationContext -> bool
override this.CheckAccess : System.Security.Claims.AuthorizationContext -> bool

Public Overridable Function CheckAccess (context As AuthorizationContext) As Boolean

參數

context

AuthorizationContext

授權上下文包含要檢查授權的主體、資源及動作。

傳回

Boolean

true若主體被授權對指定資源執行指定動作;否則，。 false

範例

主題中使用 ClaimsAuthorizationManager 的程式碼範例取自範例 Claims Based Authorization 。 本範例提供一個自訂的理賠授權管理器，可根據設定中指定的政策授權主體。 自訂權利要求授權管理器由三個基本元件組成：一個由 ClaimsAuthorizationManager 管理器衍生的類別（實作管理者）、 ResourceAction 一個配對資源與動作的類別，以及一個負責讀取和編譯設定檔中指定的政策的政策讀取器。 此編譯後的政策可由理賠授權管理器評估主體，授權資源存取權。 為了簡潔起見，並非所有元素都呈現出來。

以下程式碼顯示了方法 CheckAccess 的覆寫。 此方法根據從設定檔讀取並編譯的政策內容來授予或拒絕存取權。

static Dictionary<ResourceAction, Func<ClaimsPrincipal, bool>> _policies = new Dictionary<ResourceAction, Func<ClaimsPrincipal, bool>>();
PolicyReader _policyReader = new PolicyReader();

    /// <summary>
    /// Checks if the principal specified in the authorization context is authorized to perform action specified in the authorization context 
    /// on the specified resoure
    /// </summary>
    /// <param name="pec">Authorization context</param>
    /// <returns>true if authorized, false otherwise</returns>
    public override bool CheckAccess(AuthorizationContext pec)
    {
        //
        // Evaluate the policy against the claims of the 
        // principal to determine access
        //
        bool access = false;
        try
        {
            ResourceAction ra = new ResourceAction(pec.Resource.First<Claim>().Value, pec.Action.First<Claim>().Value);

            access = _policies[ra](pec.Principal);
        }
        catch (Exception)
        {
            access = false;
        }

        return access;
    }
}

以下程式碼顯示 ResourceAction 自訂理賠管理器所使用的類別。

using System;

namespace ClaimsAuthorizationLibrary
{
    /// <summary>
    /// Class to encapsulate resource/action pair
    /// </summary>
    public class ResourceAction
    {
        public string Resource;
        public string Action;

        /// <summary>
        /// Checks if the current instance is equal to the given object by comparing the resource and action values
        /// </summary>
        /// <param name="obj">object to compare to</param>
        /// <returns>True if equal, else false.</returns>
        public override bool Equals(object obj)
        {
            ResourceAction ra = obj as ResourceAction;
            if (ra != null)
            {
                return ((string.Compare(ra.Resource, Resource, true) == 0) && (string.Compare(ra.Action, Action, true) == 0));
            }

            return base.Equals(obj);
        }

        /// <summary>
        /// Gets the hash code.
        /// </summary>
        /// <returns>The hash code.</returns>
        public override int GetHashCode()
        {
            return (Resource + Action).ToLower().GetHashCode();
        }

        /// <summary>
        /// Creates an instance of ResourceAction class.
        /// </summary>
        /// <param name="resource">The resource name.</param>
        /// <param name="action">The action.</param>
        /// <exception cref="ArgumentNullException">when <paramref name="resource"/> is null</exception>
        public ResourceAction(string resource, string action)
        {
            if (string.IsNullOrEmpty(resource))
            {
                throw new ArgumentNullException("resource");
            }

            Resource = resource;
            Action = action;
        }
    }
}

理賠授權管理器所使用的政策由 >自訂元素指定。 此政策由方法讀取並編 LoadCustomConfiguration 譯。 在第一份保單中，委託人必須擁有其中一項指定的權利要求，才能對指定資源執行指定行動。 在第二項保單中，委託人必須同時擁有這兩個權利要求，才能對指定資源執行指定行動。 在其他所有案件中，委託人無論擁有多少權利，都會自動獲得存取權。

<system.identityModel>
  <identityConfiguration>
    <claimsAuthorizationManager type="ClaimsAuthorizationLibrary.MyClaimsAuthorizationManager, ClaimsAuthorizationLibrary">
      <policy resource="http://localhost:28491/Developers.aspx" action="GET">
        <or>
          <claim claimType="http://schemas.microsoft.com/ws/2008/06/identity/claims/role" claimValue="developer" />
          <claim claimType="http://schemas.xmlsoap.org/claims/Group" claimValue="Administrator" />
        </or>
      </policy>
      <policy resource="http://localhost:28491/Administrators.aspx" action="GET">
        <and>
          <claim claimType="http://schemas.xmlsoap.org/claims/Group" claimValue="Administrator" />
          <claim claimType="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/country" claimValue="USA" />
        </and>
      </policy>
      <policy resource="http://localhost:28491/Default.aspx" action="GET">
      </policy>
      <policy resource="http://localhost:28491/" action="GET">
      </policy>
      <policy resource="http://localhost:28491/Claims.aspx" action="GET">
      </policy>
    </claimsAuthorizationManager>

    ...

  </identityConfiguration>
</system.identityModel>

備註

基礎實作總是回傳 true，授權存取。 你可以在衍生類別中覆寫此方法，根據你的 RP 應用程式需求授權存取權限。 若此方法回傳 false，Windows 身份基礎（WIF）會回傳未授權錯誤給呼叫者;否則，執行權會交給 RP 應用程式。