ASP.NET Core中的簡單授權

ASP.NET Core中的授權是由 及其各種參數所控制 AuthorizeAttribute 。 在最基本的形式中,將 [Authorize] 屬性套用至控制器、動作或 Razor Page,會限制對該元件的存取權給已驗證的使用者。

下列程式碼會限制對已驗證使用者的存取 AccountController

[Authorize]
public class AccountController : Controller
{
    public ActionResult Login()
    {
    }

    public ActionResult Logout()
    {
    }
}

如果您想要將授權套用至動作,而不是控制器,請將 AuthorizeAttribute 屬性套用至動作本身:

public class AccountController : Controller
{
   public ActionResult Login()
   {
   }

   [Authorize]
   public ActionResult Logout()
   {
   }
}

現在只有已驗證的使用者才能存取函 Logout 式。

您也可以使用 AllowAnonymous 屬性,允許非驗證的使用者存取個別動作。 例如:

[Authorize]
public class AccountController : Controller
{
    [AllowAnonymous]
    public ActionResult Login()
    {
    }

    public ActionResult Logout()
    {
    }
}

這只允許已驗證的使用者到 AccountController ,但動作除外 Login ,不論其已驗證或未驗證/匿名狀態為何,每個人都可存取此動作。

警告

[AllowAnonymous] 略過所有授權語句。 如果您合併 [AllowAnonymous] 和任何 [Authorize] 屬性, [Authorize] 則會忽略屬性。 例如,如果您在控制器層級套用 [AllowAnonymous][Authorize] 則會忽略相同控制器 (或其內的任何動作上的任何屬性) 。

下列程式碼會限制對已驗證使用者的頁面存取 LogoutModelRazor :

[Authorize]
public class LogoutModel : PageModel
{
    public async Task OnGetAsync()
    {

    }

    public async Task<IActionResult> OnPostAsync()
    {

    }
}

如需如何全域要求所有使用者進行驗證的資訊,請參閱 要求已驗證的使用者

授權屬性和 Razor Pages

AuthorizeAttribute無法套用至 Razor Page 處理常式。 例如, [Authorize] 無法套用至 OnGetOnPost 或任何其他頁面處理常式。 請考慮針對具有不同處理常式不同授權需求的頁面使用 ASP.NET Core MVC 控制器。 需要不同的授權需求時,請使用 MVC 控制器:

  • 這是最不復雜的方法。
  • 這是 Microsoft 建議的方法。

如果您決定不使用 MVC 控制器,下列兩種方法可用來將授權套用至 Razor Page 處理常式方法:

  • 針對需要不同授權的頁面處理常式使用不同的頁面。 將共用內容移至一或多個 部分檢視。 可能的話,這是建議的方法。

  • 對於必須共用通用頁面的內容,請撰寫篩選,以 在 IAsyncPageFilter.OnPageHandlerSelectionAsync中執行授權。 PageHandlerAuth GitHub 專案示範此方法:

    [TypeFilter(typeof(AuthorizeIndexPageHandlerFilter))]
    public class IndexModel : PageModel
    {
        private readonly ILogger<IndexModel> _logger;
    
        public IndexModel(ILogger<IndexModel> logger)
        {
            _logger = logger;
        }
    
        public void OnGet()
        {
    
        }
    
        public void OnPost()
        {
    
        }
    
        [AuthorizePageHandler]
        public void OnPostAuthorized()
        {
    
        }
    }
    
    public class AuthorizeIndexPageHandlerFilter : IAsyncPageFilter, IOrderedFilter
    {
        private readonly IAuthorizationPolicyProvider policyProvider;
        private readonly IPolicyEvaluator policyEvaluator;
    
        public AuthorizeIndexPageHandlerFilter(
            IAuthorizationPolicyProvider policyProvider,
            IPolicyEvaluator policyEvaluator)
        {
            this.policyProvider = policyProvider;
            this.policyEvaluator = policyEvaluator;
        }
    
        // Run late in the selection pipeline
        public int Order => 10000;
    
        public Task OnPageHandlerExecutionAsync(PageHandlerExecutingContext context, PageHandlerExecutionDelegate next) => next();
    
        public async Task OnPageHandlerSelectionAsync(PageHandlerSelectedContext context)
        {
            var attribute = context.HandlerMethod?.MethodInfo?.GetCustomAttribute<AuthorizePageHandlerAttribute>();
            if (attribute is null)
            {
                return;
            }
    
            var policy = await AuthorizationPolicy.CombineAsync(policyProvider, new[] { attribute });
            if (policy is null)
            {
                return;
            }
    
            await AuthorizeAsync(context, policy);
        }
    
        #region AuthZ - do not change
        private async Task AuthorizeAsync(ActionContext actionContext, AuthorizationPolicy policy)
        {
            var httpContext = actionContext.HttpContext;
            var authenticateResult = await policyEvaluator.AuthenticateAsync(policy, httpContext);
            var authorizeResult = await policyEvaluator.AuthorizeAsync(policy, authenticateResult, httpContext, actionContext.ActionDescriptor);
            if (authorizeResult.Challenged)
            {
                if (policy.AuthenticationSchemes.Count > 0)
                {
                    foreach (var scheme in policy.AuthenticationSchemes)
                    {
                        await httpContext.ChallengeAsync(scheme);
                    }
                }
                else
                {
                    await httpContext.ChallengeAsync();
                }
    
                return;
            }
            else if (authorizeResult.Forbidden)
            {
                if (policy.AuthenticationSchemes.Count > 0)
                {
                    foreach (var scheme in policy.AuthenticationSchemes)
                    {
                        await httpContext.ForbidAsync(scheme);
                    }
                }
                else
                {
                    await httpContext.ForbidAsync();
                }
    
                return;
            }
        }
    

警告

PageHandlerAuth範例方法不會

  • 使用套用至頁面、頁面模型或全域的授權屬性撰寫。 撰寫授權屬性會導致當您有多個 AuthorizeAttributeAuthorizeFilter 實例同時套用至頁面時多次執行驗證和授權。
  • 與其余 ASP.NET Core驗證和授權系統搭配運作。 您必須確認使用此方法對應用程式正常運作。

頁面處理常式上 Razor 沒有支援 AuthorizeAttribute 的計畫。