我正在使用ASP.NET Core 2.0开发服务结构无状态Web应用程序。此应用程序使用Azure AD对来自多个AD租户的用户进行身份验证。我要实现的是使用自己的基于角色的授权,可以使用授权用户在我的应用程序中对其进行配置。这些角色存储在我的应用程序中。
在当前的实现中,我通过使用custom添加策略来向应用程序添加授权IAuthorizationRequirement。在需求授权期间,根据用户权限添加声明。这意味着声明将在登录后添加。该[Authorize(Roles = "role")]属性也不起作用,因为角色声明是在登录后添加的
使用来自Azure AD的经过身份验证的用户来实现此自定义授权的正确方法是什么?
您可以在用户通过OnTokenValidated事件登录后添加自己的自定义声明:
.AddOpenIdConnect(o =>
{
Configuration.GetSection("OpenIdConnect").Bind(o);
o.Events = new OpenIdConnectEvents
{
OnTokenValidated = async ctx =>
{
string oid = ctx.Principal.FindFirstValue("http://schemas.microsoft.com/identity/claims/objectidentifier");
var db = ctx.HttpContext.RequestServices.GetRequiredService<AuthorizationDbContext>();
var objectIdGuid = Guid.Parse(oid);
bool isSuperAdmin = await db.SuperAdmins.AnyAsync(a => a.ObjectId == objectIdGuid);
if (isSuperAdmin)
{
var claims = new List<Claim>();
claims.Add(new Claim(ClaimTypes.Role, Roles.SuperAdmin));
var appIdentity = new ClaimsIdentity(claims, "MyTestAppIdentity");
ctx.Principal.AddIdentity(appIdentity);
}
}
};
});
作为示例,我们从数据库中检查用户是否为超级管理员。如果是这样,我们将为他们创建一个新的身份,并以必要的角色作为声明。
所有身份都在主体上组合在一起以生成其声明集,因此所有其他声明也仍然可用。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句