ASP.NET 5 Autorisieren gegen zwei oder mehr Richtlinien

Ist es möglich, die Autorisierung gegen zwei oder mehr Richtlinien? Ich bin mit ASP.NET 5, rc1.

[Authorize(Policy = "Limited,Full")]
public class FooBarController : Controller
{
    //This code doesn't work
}

Wenn nicht, wie kann ich dies erreichen, ohne über Politik? Es gibt zwei Gruppen von Benutzern, die Zugriff auf den controller: "Voll" und "Begrenzt". Benutzer können entweder gehören "Voll" oder "Begrenzt", oder beide. Sie benötigen nur gehören zu einer der beiden Gruppen, um Zugriff auf diese controller.

InformationsquelleAutor painiyff | 2016-02-24
  1. 28

    Nicht so, wie Sie wollen; die Politik sind entworfen, um kumulative. Zum Beispiel, wenn Sie zwei getrennte Attribute, dann müssen Sie beide übergeben.

    Müssen Sie auswerten ODER Bedingungen innerhalb einer einzigen Richtlinie. Aber Sie nicht haben, um code als ORs innerhalb einer einzelnen Prozedur. Sie haben eine Anforderung, die mehr als ein handler. Wenn entweder der Handler flag Erfolg, dann ist die Anforderung erfüllt. Siehe Schritt 6 in meinem Berechtigungs-Workshop.

    • Wenn die Richtlinien kumulativ sind, warum sind Standardwerte ersetzt bei Verwendung von custom Modellen? Das Herz dieser Frage kommt von diese Frage. Ich bin deklarieren von benutzerdefinierten Richtlinien nicht wollen und nicht authentifizierten Anfragen jemals in meine Erlaubnis hinzusetzen. Die aktuelle Art und Weise die ich verwende ist von Schritt 2 in der Bewilligung workshop (Autorisierung aller Endpunkte und setzen [AllowAnonymous] wo erforderlich). Fühlt sich an wie ein antipattern, aber ich könnte mich dumm!
    • Grundsätzlich übernehmen wir, wenn Sie uns Ihre eigenen Richtlinien, die Sie wissen, was Sie tun. Anwenden einer Richtlinie gibt an, dass Sie gehen, um die Standardeinstellung zu überschreiben.
    • Verstanden. Fühlt sich einfach wie Standard-Politik muss es sein, eine "baseline" als wenn es Ihre erste Politik in einer Sammlung von benutzerdefinierten lieben.
    • Ja, es ist nicht so Standard wie "Tun Sie dies, wenn dort nichts angegeben wurde."
    • Sie sind kumulativ, aber asp-net-Autorisierung verwendet, Damit Privileg Ansatz zu behandeln, die die Sicherheit, alle von Ihnen übergeben muss, in deinem Fall [AllowAnonymous] übergeben, aber kann blockiert werden, indem Sie die folgenden Richtlinien.
    InformationsquelleAutor blowdart
  2. 11

    Einmal einrichten einer neuen Politik "LimitedOrFull" (vorausgesetzt, Sie entsprechen den Anspruch Typ-Namen) erstellen Sie eine Anforderung wie diese:

    options.AddPolicy("LimitedOrFull", policy =>
    policy.RequireAssertion(context =>
        context.User.HasClaim(c =>
            (c.Type == "Limited" ||
             c.Type == "Full"))));

    https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-2.1#using-a-func-to-fulfill-a-policy

    InformationsquelleAutor Andrius Naruševičius
  3. 4

    Net Core hat eine option, um mehrere AuthorizationHandlers, die die gleiche AuthorizationRequirement geben. Nur eines dieser haben um erfolgreich zu sein, um pass-Berechtigung
    https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-2.1#why-would-i-want-multiple-handlers-for-a-requirement

    • Optionen.AddPolicy("ElevatedRights", policy => Politik.RequireRole("Administrator", "PowerUser", "BackupAdministrator"));
    InformationsquelleAutor Homulvas
  4. -34

    versuchen, mit Rolle stattdessen

    [Authorize(Role = "Limited,Full")]
    • Rollen sind keine Richtlinien.
    InformationsquelleAutor haitham sha
Schreibe einen Kommentar