自定义授权策略通过定义要求、处理程序并注册策略实现,如MinimumAgeRequirement与Handler结合Policy控制访问。
在 ASP.NET Core 中,自定义授权策略是通过组合策略名称、要求(Requirements)、处理程序(Handlers)和策略注册来实现的。你可以根据业务逻辑灵活控制访问权限,比如基于用户角色、声明、资源状态等条件进行判断。
定义自定义授权要求
授权要求是一个继承自 IAuthorizationRequirement 的类,用于表示某种权限条件。
public class MinimumAgeRequirement : IAuthorizationRequirement{
public int Age { get; }
public MinimumAgeRequirement(int age)
{
Age = age;
}
}
编写要求处理程序
处理程序负责验证用户是否满足指定的要求。它需要实现 AuthorizationHandler
{
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context,
MinimumAgeRequirement requirement)
{
// 检查用户是否有出生日期声明
if (context.User.HasClaim(c => c.Type == ClaimTypes.DateOfBirth))
{
var birthDate = DateTime.Parse(context.User.FindFirst(ClaimTypes.DateOfBirth).Value);
int age = DateTime.Today.Year - birthDate.Year;
if (birthDate > DateTime.Today.AddYears(-age)) age--;
if (age youjiankuohaophpcn= requirement.Age)
{
context.Succeed(requirement); // 满足条件
}
}
return Task.CompletedTask;
}
}
注册策略和服务
在 Program.cs 或启动配置中注册授权服务,并添加自定义策略。
builder.Services.AddAuthorization(options =>
{
options.AddPolicy("AtLeast18", policy =>
policy.Requirements.Add(new MinimumAgeRequirement(18)));
});
builder.Services.AddScoped
在控制器中使用自定义策略
通过 [Authorize(Policy = "AtLeast18")] 应用策略。
[Authorize(Policy = "AtLeast18")]public IActionResult AdultContent()
{
return View();
}
基本上就这些。你还可以创建更复杂的策略,比如结合多个要求、基于资源的授权(Resource-based Authorization),或动态生成策略。关键是理解“要求 + 处理程序 + 策略名”这一模型。只要注册正确,ASP.NET Core 会自动调用对应的处理逻辑。不复杂但容易忽略细节,比如服务注册顺序或声明格式。
