在ASP.NET Core中，授权是保护应用程序数据、服务、操作和其他资源的关键部分。授权有几个层次，从简单的访问控制到更复杂的权限管理和角色授予。在许多ASP.NET Core应用程序中，授权通常是使用AuthorizeAttribute授权属性来管理的。这个属性是被定义在System.Web.Mvc和System.Web.Http命名空间中的。

ASP.NET Core中的AuthorizeAttribute授权属性可以用于授权到控制器和操作层面。它提供了不同的方式来授权用户来访问你的控制器和操作，例如：

- 具有特定角色的用户可以访问

- 拥有特定的策略的用户可以访问

- 用户必须被认证并通过身份验证来访问

在本文中，我们将探讨ASP.NET Core中的AuthorizeAttribute授权属性的使用方法，以及如何最大限度地利用这个功能强大的属性。

如何在ASP.NET Core中使用AuthorizeAttribute授权属性？

在 ASP.NET Core中，可以将AuthorizeAttribute属性添加到一个控制器或操作方法中。当你在Action方法上使用AuthorizeAttribute授权属性时，它会覆盖控制器上的AuthorizeAttribute属性。

例如，在一个ASP.NET Core应用程序中，你可能需要授权用户可以访问所有内容，但是有些控制器和操作需要特定的权限。下面的代码显示了如何在控制器和操作中使用AuthorizeAttribute属性。

//授权用户必须出示身份验证来访问整个控制器

[Authorize]

public class AccountController : Controller

{

//授权具有Admin角色的用户来访问操作

[Authorize(Roles = "Admin")]

public IActionResult EditAccount()

{

return View();

}

//授权使用经过身份验证的用户访问操作

[Authorize(AuthenticationSchemes = "MyAuthScheme")]

public IActionResult ViewAccountInfo()

{

return View();

}

}

在上面的代码中，整个AccountController需要用户进行身份验证才能访问。EditAccount操作需要具有Admin角色的用户才能访问，而ViewAccountInfo操作需要使用自定义身份验证方案MyAuthScheme进行身份验证。

如何将角色添加到AuthorizeAttribute授权属性？

在ASP.NET Core中，可以使用Roles参数将角色添加到AuthorizeAttribute授权属性。

例如，如果你要授权Admin角色的用户可以访问一个操作方法，请使用以下代码：

[Authorize(Roles = "Admin")]

public IActionResult EditAccount()

{

return View();

}

在上面的代码中，AuthorizeAttribute授权属性只允许Admin角色的用户访问EditAccount操作。

如何在ASP.NET Core中使用策略进行授权？

在ASP.NET Core中，可以使用策略参数将授权策略添加到AuthorizeAttribute授权属性中。策略可以为授权提供更具体的灵活性，允许你更细粒度地控制用户能够访问的资源。

例如，假设你要授权具有“CanEditAccount”策略的用户可以访问一个操作方法，则可以使用以下代码：

[Authorize(Policy = "CanEditAccount")]

public IActionResult EditAccount()

{

return View();

}

在以上的例子中，只有具有CanEditAccount策略的用户才能访问EditAccount操作。

如何自定义ASP.NET Core中的授权策略？

在ASP.NET Core中，你可以自行定义授权策略。要定义自己的授权策略，请使用PolicyRequirement和PolicyBuilder类。

例如，以下代码定义了一个授权策略，要求用户必须拥有“CanEditAccount”策略，并且用户必须在系统中已有一个月的时间：

public class CanEditAccountRequirement : IAuthorizationRequirement

{

//空实现

}

public class CanEditAccountAuthorizationHandler : AuthorizationHandler

{

protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CanEditAccountRequirement requirement)

{

if (context.User.HasClaim(c => c.Type == "CanEditAccount" && c.Value == "true") && context.User.Identity.IsAuthenticated && context.User.HasClaim(c => c.Type == ClaimTypes.DateTime && DateTime.Parse(c.Value) < DateTime.Now.AddDays(-30)))

{

context.Succeed(requirement);

}

return Task.CompletedTask;

}

}

public class CanEditAccountAttribute : AuthorizeAttribute

{

public CanEditAccountAttribute() : base("CanEditAccount") { }

}

在以上代码中，我们定义了一个CanEditAccountRequirement类来实现IAuthorizationRequirement接口。然后，我们定义了一个CanEditAccountAuthorizationHandler类来处理CanEditAccountRequirement的授权请求。

最后，我们定义了一个CanEditAccountAttribute属性，该属性使用CanEditAccount授权策略来授权用户。

结论

AuthorizeAttribute授权属性是ASP.NET Core中一个功能强大的组成部分。通过使用它，你可以轻松地授权用户来访问你的控制器和操作。可以使用Roles、AuthenticationSchemes、Policies和自定义授权策略来授权用户，从而实现更细粒度的控制。

通过利用ASP.NET Core中的AuthorizeAttribute授权属性，开发人员可以提供更安全的应用程序，保护用户数据和其他敏感资源，从而提高应用程序的稳定性和可靠性。