如何在授权过程（策略或中间件）中检查自定义属性？

我已经对框架源进行了一些挖掘，并找到了一种以授权处理程序方式进行这项工作的方法。授权过程的入口点是AuthorizeFilter。过滤器上下文有一个接受IActionResult的Result属性。通过设置此属性，您可以缩短请求并显示您想要的任何操作结果（包括视图）。这是解决问题的关键。如果遵循执行路径，您会发现过滤器上下文已传递给授权组件，并且在IAuthorizationHandler.HandleRequirementAsync方法中可用。您可以通过向下转换从上下文对象的Resource属性中获取它（如 OP 所示）。还有一件更重要的事情：您必须从授权处理程序返回成功，否则最终不可避免地会发生重定向。（如果您查看IPolicyEvaluator的默认实现，这将变得清晰。）所以把这一切放在一起：public class BlockedHandler : AuthorizationHandler<BlockedRequirement>{    private Task HandleBlockedAsync(AuthorizationFilterContext filterContext)    {        // create a model for the view if needed...        var model = new BlockedModel();        // do some processing if needed...        var modelMetadataProvider = filterContext.HttpContext.RequestServices.GetService<IModelMetadataProvider>();        // short-circuit request by setting the action result        filterContext.Result = new ViewResult        {            StatusCode = 403, // Client cannot access the requested resource            ViewName = "~/Views/Shared/Blocked.cshtml",            ViewData = new ViewDataDictionary(modelMetadataProvider, filterContext.ModelState) { Model = model }        };        return Task.CompletedTask;    }    protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, BlockedRequirement requirement)    {        if (context.User.HasClaim(c => c.Type == UserClaimTypes.BlockedFrom) &&             context.Resource is AuthorizationFilterContext filterContext &&            filterContext.ActionDescriptor is ControllerActionDescriptor descriptor)        {            var allowBlocked = descriptor.ControllerTypeInfo.CustomAttributes                .Concat(descriptor.MethodInfo.CustomAttributes)                .Any(x => x.AttributeType == typeof(AllowBlockedAttribute));            if (!allowBlocked)                await HandleBlockedAsync(filterContext);        }        // We must return success in every case to avoid forbid/challenge.        context.Succeed(requirement);    }}

如何在授权过程（策略或中间件）中检查自定义属性？

2回答