在ASP.NET Core应用程序中，授权是保障数据的安全和保密性的关键步骤。ASP.NET Core授权允许您根据特定条件限制用户访问应用程序的某些部分。其中一个支持以下功能的属性是AuthorizeAttribute，也可以称为授权属性。在本文中，我们将介绍如何创建有效的ASP.NET Core授权属性。

什么是Authorize Attribute？

Authorize Attribute是一种ASP.NET Core中的类属性，用于限制对应用程序资源的访问。 可以使用Authorize Attribute属性来装饰控制器类，控制器方法或任何web服务端点。 这样就可以限制用户是否可以通过身份验证和具有足够的角色或策略来访问资源。

如何使用Authorize Attribute？

在ASP.NET Core应用程序中，您可以使用以下方式使用授权属性：

1. 在控制器类中使用Authorize Attribute

```csharp

[Authorize]

public class MyController : Controller

{

// Your code here

}

```

该Authorize Attribute将强制在MyController类中的任何操作发生之前要求用户进行身份验证。 如果用户未经过身份验证，则他们将被重定向到登录页面。

2. 在控制器方法中使用Authorize Attribute

```csharp

public class MyController : Controller

{

[Authorize]

public IActionResult Index()

{

// Your code here

}

}

```

该Authorize Attribute将强制在执行Index方法之前要求用户进行身份验证。 如果用户未经过身份验证，则他们将被重定向到登录页面。

3. 指定更精确的策略名称

```csharp

[Authorize(Policy = "RequireAdmin")]

public class MyController : Controller

{

// Your code here

}

```

该Authorize Attribute将强制在MyController操作之前使用策略名称“RequireAdmin”对用户进行身份验证。 我们将在本文后面更详细地讨论ASP.NET Core策略。

4. 指定多个授权策略

```csharp

[Authorize(Policy = "RequireAdminOrEditor")]

public class MyController : Controller

{

// Your code here

}

```

该Authorize Attribute将强制在MyController操作之前使用策略名称“RequireAdminOrEditor”对用户进行身份验证。 该策略将允许具有“Admin”角色或“Editor”角色的用户访问该操作。

如何创建授权策略？

授权策略是ASP.NET Core授权系统的一部分，可以用于确定是否应授予特定用户对应用程序资源的访问权限。策略可以基于角色，声明，属性，请求路径和其他因素。 在ASP.NET Core的授权系统中，策略是足够组织和灵活的。 您可以根据需要创建授权策略。

在ASP.NET Core中，要编写自定义授权策略，您可以遵循以下步骤：

1. 创建策略要求

策略要求是指授权系统用来判断是否应允许访问应用程序资源的要求。 您可以创建自己的策略要求并描述所需的授权条件。 例如，您可能要创建一个授权条件，该条件仅允许具有“Admin”角色的用户访问应用程序中的某些操作。 以下代码示例演示了如何编写授权要求：

```csharp

public class AdminRequirement : IAuthorizationRequirement

{

// Your code here

}

```

2. 创建策略处理程序

策略处理程序用于确定用户是否满足要求。 它们是授权系统用于执行所需操作的方法。 以下代码示例演示了如何编写策略处理程序：

```csharp

public class AdminHandler : AuthorizationHandler

{

// Your code here

}

```

3. 注册策略

最后，您需要在应用程序启动时注册策略处理程序并将其与策略要求关联。 然后，ASP.NET Core授权系统将使用策略要求和策略处理程序来确定用户是否具有访问特定资源的权限。 以下代码示例演示了如何注册策略处理程序：

```csharp

services.AddAuthorization(options =>

{

options.AddPolicy("RequireAdmin", policy =>

policy.Requirements.Add(new AdminRequirement()));

});

services.AddSingleton();

```

总结

ASP.NET Core授权是保障数据的安全和保密性的重要步骤。 授权属性（Authorize Attribute）是其中一个支持以下功能的属性，涵盖了对ASP.NET Core授权的关键方面。 分别是如何使用Authorize Attribute、指定更精确的策略名称，指定多个授权策略，如何创建授权策略。 通过掌握这些内容，您将能够更好地了解ASP.NET Core授权，并使用这种功能来保护应用程序资源。