ASP.NET Core是一个强大的Web开发框架，其提供了许多功能以支持Web应用程序的开发。其中，授权是Web应用程序的一个关键方面，因为它确保只有授权用户才能访问应用程序的受保护资源。在ASP.NET Core中，可以使用AuthorizeAttribute来授权Web应用程序的访问权限。本文将介绍如何使用AuthorizeAttribute来授权ASP.NET Core Web应用程序的访问权限。

什么是AuthorizeAttribute？

AuthorizeAttribute是一个C#特性，它用于授权访问具有指定授权策略的操作。它允许开发人员为Web应用程序的授权过程提供更多的控制。AuthorizeAttribute可以在控制器或操作方法上使用。如果控制器上使用AuthorizeAttribute，那么所有在该控制器中的操作方法都将受到此属性的影响。

如何在ASP.NET Core中使用AuthorizeAttribute？

在ASP.NET Core中，可以使用AuthorizeAttribute来授权Web应用程序的访问权限。授权的具体方式取决于您的授权系统。在这里，我们将使用ASP.NET Core Identity来演示如何使用AuthorizeAttribute进行身份验证和授权。

首先，我们需要将ASP.NET Core Identity添加到我们的Web应用程序中。要使用ASP.NET Core Identity，我们需要在Startup.cs文件中的ConfigureServices方法中添加以下代码：

```csharp

services.AddDefaultIdentity()

.AddEntityFrameworkStores();

```

此代码将使用ASP.NET Core身份验证添加IdentityUser和ApplicationDbContext到应用程序中。接下来，在Configure方法中，我们需要添加以下代码来启用身份验证和授权：

```csharp

app.UseAuthentication();

app.UseAuthorization();

```

现在我们的Web应用程序已启用身份验证和授权，我们可以开始使用AuthorizeAttribute进行授权。

在我们的控制器或操作方法中使用AuthorizeAttribute：

```csharp

[Authorize]

public IActionResult Index()

{

return View();

}

```

上面的代码将在执行Index操作之前执行身份验证。如果用户已通过身份验证，那么他们将被允许访问此操作。如果用户未通过身份验证，则将重定向到登录页面。

为AuthorizeAttribute指定策略：

AuthorizeAttribute可以根据授权策略来授权。授权策略是一组条件，它确定用户是否被授予访问ASP.NET Core应用程序的权限。以下代码演示了如何定义一个自定义授权策略：

```csharp

services.AddAuthorization(options =>

{

options.AddPolicy("RequireAdminRole", policy =>

{

policy.RequireRole("Admin");

});

});

```

上面的代码使用AddAuthorization方法定义了一个名为“RequireAdminRole”的授权策略。如果用户具有“Admin”角色，则将允许他们访问需要此策略的操作。

现在，我们可以在AuthorizeAttribute中使用授权策略，如下所示：

```csharp

[Authorize(Policy = "RequireAdminRole")]

public IActionResult AdminPage()

{

return View();

}

```

上面的代码将要求用户具有“RequireAdminRole”策略以访问AdminPage操作。如果用户未通过此授权策略，则将重定向到首页。

指定多个授权策略：

在某些情况下，您可能需要指定多个授权策略以访问操作。在这种情况下，您可以在AuthorizeAttribute中使用多个授权策略，如下所示：

```csharp

[Authorize(Policy = "RequireAdminRole, RequireManagerRole")]

public IActionResult AdminAndManagerPage()

{

return View();

}

```

上面的代码将要求用户具有“RequireAdminRole”或“RequireManagerRole”策略以访问AdminAndManagerPage操作。如果用户未通过任一查询，则将重定向到首页。

自定义授权策略：

除了使用ASP.NET Core Identity提供的授权策略外，您还可以定义自己的自定义授权策略。以下代码演示了如何定义一个自定义授权策略：

```csharp

services.AddAuthorization(options =>

{

options.AddPolicy("RequireMinimumAge", policy =>

{

policy.Requirements.Add(new MinimumAgeRequirement(18));

});

});

```

上面的代码将创建一个名为“RequireMinimumAge”的自定义授权策略。它要求用户的年龄必须至少为18岁才能访问具有此策略的操作。注意，MinimumAgeRequirement是我们自己定义的自定义授权要求，我们将在下面的章节中讨论它。

现在，我们可以使用自定义授权策略，如下所示：

```csharp

[Authorize(Policy = "RequireMinimumAge")]

public IActionResult AdultContentPage()

{

return View();

}

```

上面的代码将要求用户的年龄至少为18岁以访问AdultContentPage操作。

自定义授权要求：

默认情况下，ASP.NET Core Identity提供了一些授权要求（例如，RequireRole、RequireAuthenticatedUser等）。但是，在某些情况下，您可能需要定义自己的授权需求。以下代码演示了如何定义自己的授权需求：

```csharp

public class MinimumAgeRequirement : IAuthorizationRequirement

{

public int MinimumAge { get; }

public MinimumAgeRequirement(int minimumAge)

{

MinimumAge = minimumAge;

}

}

```

上面的代码将创建一个名为MinimumAgeRequirement的授权需求。它需要一个最小年龄，以便用户可以访问需要具有此授权策略的操作。

要实现授权需求，我们还需要创建授权处理程序。授权处理程序负责评估用户是否满足授权要求。以下代码演示了如何实施MinimumAgeRequirement授权处理程序：

```csharp

public class MinimumAgeHandler : AuthorizationHandler

{

protected override Task HandleRequirementAsync(AuthorizationHandlerContext context,

MinimumAgeRequirement requirement)

{

if (!context.User.HasClaim(c => c.Type == ClaimTypes.DateOfBirth))

{

return Task.CompletedTask;

}

var dateOfBirth = Convert.ToDateTime(context.User.FindFirst(c => c.Type == ClaimTypes.DateOfBirth).Value);

var age = DateTime.Today.Year - dateOfBirth.Year;

if (dateOfBirth > DateTime.Today.AddYears(-age))

{

age--;

}

if (age >= requirement.MinimumAge)

{

context.Succeed(requirement);

}

else

{

context.Fail();

}

return Task.CompletedTask;

}

}

```

上面的代码实现了MinimumAgeRequirement授权处理程序。它检查用户是否具有出生日期声明，然后计算用户的年龄。最后，它评估用户是否满足MinimumAgeRequirement授权需求。

现在，我们需要在Startup.cs文件中的ConfigureServices方法中注册授权处理程序：

```csharp

services.AddSingleton();

```

现在，我们可以在自定义授权策略中使用MinimumAgeRequirement授权要求：

```csharp

services.AddAuthorization(options =>

{

options.AddPolicy("RequireMinimumAge", policy =>

{

policy.Requirements.Add(new MinimumAgeRequirement(18));

});

});

```

上面的代码演示了如何使用MinimumAgeRequirement授权要求来定义一个自定义授权策略。它要求用户的年龄必须至少为18岁才能访问符合此策略的操作。

总结：

使用AuthorizeAttribute来授权ASP.NET Core Web应用程序的访问权限非常简单。您可以使用它来执行身份验证和授权，定义授权策略和自定义授权需求和处理程序。ASP.NET Core Identity提供了许多授权要求和处理程序，但是您也可以定义自己的自定义授权要求和处理程序。授权确保只有经过身份验证和授权的用户才能访问应用程序的受保护资源。