光定義策略還不夠推動並實現，還必須向授權(quán)中間件注冊(cè)策略薄弱點。為此，請(qǐng)?jiān)?Startup 類的 ConfigureServices 方法中優化程度，將授權(quán)中間件添加為服務(wù)積極性，如下所示：

　　services.AddAuthorization(options=>{ options.AddPolicy("ContentsEditor", policy => { policy.AddAuthenticationSchemes("Cookie, Bearer"); policy.RequireAuthenticatedUser(); policy.RequireRole("Admin"); policy.RequireClaim("editor", "contents"); });}

　　添加到中間件的每個(gè)策略都有一個(gè)名稱，用于在 Controller 類的 Authorize 屬性中引用策略：

　　[Authorize(Policy = "ContentsEditor")]publicIActionResult Save(Article article){ // ...}

　　使用 Authorize 屬性不斷豐富，可以聲明的方式設(shè)置策略實施體系，但也可以通過(guò)操作方法以編程方式調(diào)用策略，如圖 2所示各有優勢。

　　圖 2：以編程方式檢查策略

　　publicclassAdminController : Controller{ privateIAuthorizationService _authorization; publicAdminController(IAuthorizationService authorizationService) { _authorization = authorizationService; } publicasyncTask{ options.AddPolicy("ContentsEditor", policy => { policy.AddAuthenticationSchemes("Cookie, Bearer"); policy.RequireAuthenticatedUser(); policy.RequireRole("Admin"); policy.RequireClaim("editor", "contents"); });}

　　添加到中間件的每個(gè)策略都有一個(gè)名稱效果較好，用于在 Controller 類的 Authorize 屬性中引用策略：

　　[Authorize(Policy = "ContentsEditor")]publicIActionResult Save(Article article){ // ...}

　　使用 Authorize 屬性，可以聲明的方式設(shè)置策略持續，但也可以通過(guò)操作方法以編程方式調(diào)用策略等多個領域，如圖 2所示。

　　圖 2：以編程方式檢查策略

　　publicclassAdminController : Controller{ privateIAuthorizationService _authorization; publicAdminController(IAuthorizationService authorizationService) { _authorization = authorizationService; } publicasyncTask { policy.AddAuthenticationSchemes("Cookie, Bearer"); policy.RequireAuthenticatedUser(); policy.RequireRole("Admin"); policy.RequireClaim("editor", "contents"); });}

　　添加到中間件的每個(gè)策略都有一個(gè)名稱ASPCMS批量添加產(chǎn)品 產品和服務，用于在 Controller 類的 Authorize 屬性中引用策略：

　　[Authorize(Policy = "ContentsEditor")]publicIActionResult Save(Article article){ // ...}

　　使用 Authorize 屬性應用擴展，可以聲明的方式設(shè)置策略，但也可以通過(guò)操作方法以編程方式調(diào)用策略多樣性，如圖 2所示發揮效力。

　　圖 2：以編程方式檢查策略

　　publicclassAdminController : Controller{ privateIAuthorizationService _authorization; publicAdminController(IAuthorizationService authorizationService) { _authorization = authorizationService; } publicasyncTask Save(Article article) { varallowed = await_authorization.AuthorizeAsync( User, "ContentsEditor")); if(!allowed) returnnewForbiddenResult(); // Proceed with the method implementation ... }}

　　如果無(wú)法以編程方式檢查權(quán)限，建議返回 ForbiddenResult 對(duì)象明顯。另一種選擇是安全鏈，返回 ChallengeResult 對(duì)象。

　　在 ASP.NET Core 1.x 中ASPCMS批量刪除關(guān)鍵詞 創新為先，返回質(zhì)詢會(huì)指示授權(quán)中間件返回 401 狀態(tài)代碼真正做到，或?qū)⒂脩糁囟ㄏ虻降卿涰?yè)，具體視配置而定持續向好。

　　不過(guò)習慣，ASP.NET Core 2.0 中不會(huì)發(fā)生重定向；即使在 ASP.NET Core 1.x 中進展情況，如果用戶已登錄的積極性，質(zhì)詢最終也會(huì)指示返回 ForbiddenResult 對(duì)象綠色化發展。最后看來(lái)，最好的方法是在無(wú)法檢查權(quán)限時(shí)返回 ForbiddenResult 對(duì)象不久前。

　　請(qǐng)注意用上了，甚至可以在 Razor 視圖中以編程方式檢查策略，如下面的代碼所示：

　　@{ varauthorized = awaitAuthorization.AuthorizeAsync( User, "ContentsEditor"))}@if(!authorized){  You’re not authorized to access thispage.

　　}

　　不過(guò)能力建設，為了讓此代碼能夠正常運(yùn)行關註，必須先注入對(duì)授權(quán)服務(wù)的依賴ASPCMS批量上傳內(nèi)容 ，如下所示：

　　@inject IAuthorizationService Authorization

　　在視圖中使用授權(quán)服務(wù)無障礙，有助于隱藏當(dāng)前用戶在給定上下文中不得接觸到的 UI 元素連日來。但請(qǐng)注意，光在視圖中隱藏選項(xiàng)還不夠認為。始終還需要在控制器中強(qiáng)制執(zhí)行策略系統。

　　自定義要求

　　常備要求基本上涵蓋了聲明、身份驗(yàn)證重要意義，并提供了常規(guī)用途機(jī)制交流等，用于根據(jù)斷言進(jìn)行自定義，但也可以創(chuàng)建自定義要求規劃。

　　策略要求由以下兩種元素組成：僅保留數(shù)據(jù)的要求類提高，以及對(duì)用戶驗(yàn)證數(shù)據(jù)的授權(quán)處理程序。創(chuàng)建自定義要求適應性，還可以進(jìn)一步表達(dá)特定策略堅實基礎。例如，假設(shè)要將內(nèi)容編輯者策略擴(kuò)展為融合，增添用戶至少必須有三年經(jīng)驗(yàn)的要求深入闡釋。具體代碼如下：

　　publicclassExperienceRequirement : IAuthorizationRequirement{ publicintYears { get; privateset; } publicExperienceRequirement(intminimumYears) { Years = minimumYears; }}

　　要求至少必須有一個(gè)授權(quán)處理程序。處理程序的類型為 AuthorizationHandler完成的事情，其中 T 是要求類型物聯與互聯。圖 3 展示了 ExperienceRequirement 類型的示例處理程序。

　　圖 3：示例授權(quán)處理程序

　　publicclassExperienceHandler : AuthorizationHandler{ protectedoverrideTask HandleRequirementAsync( AuthorizationHandlerContext context, ExperienceRequirement requirement) { // Save User object to access claimsvaruser = context.User; if(!user.HasClaim(c => c.Type == "EditorSince")) returnTask.CompletedTask; varsince = user.FindFirst("EditorSince").Value.ToInt(); if(since >= requirement.Years) context.Succeed(requirement); returnTask.CompletedTask; }}

　　示例授權(quán)處理程序讀取與用戶關(guān)聯(lián)的聲明改造層面，并檢查自定義 EditorSince 聲明取得了一定進展。如果找不到充足，處理程序便無(wú)法返回成功去突破。只有在找到聲明且包含的整數(shù)值不低于指定年數(shù)時(shí)擴大，才能返回成功。

　　自定義聲明應(yīng)為一條信息有力扭轉，以某種方式與保存到身份驗(yàn)證 Cookie 中的用戶相關(guān)聯(lián)（例如上高質量，“用戶”表中的列）。

　　不過(guò)廣度和深度，一旦保留對(duì)用戶的引用深入交流，便始終可以從聲明中找到用戶名引領作用，并對(duì)任何數(shù)據(jù)庫(kù)或外部服務(wù)運(yùn)行查詢，以獲取經(jīng)驗(yàn)?zāi)陻?shù)臺上與臺下，從而在處理程序中使用此信息用的舒心。（我承認(rèn)，如果 EditorSince 值保留 DateTime集聚效應，并計(jì)算用戶擔(dān)任編輯者是否已有一定年數(shù)集成，此示例會(huì)更真實(shí)一點(diǎn)。）

　　授權(quán)處理程序調(diào)用方法 Succeed互動講，同時(shí)傳遞當(dāng)前要求穩定性，以通知此要求已成功得到驗(yàn)證。如果沒(méi)有傳遞要求飛躍，處理程序無(wú)需執(zhí)行任何操作更高效，可以直接返回內(nèi)容。不過(guò)重要部署，如果處理程序要確定是否不符合要求（無(wú)論其他處理程序是否已成功驗(yàn)證同一要求），將會(huì)對(duì)授權(quán)上下文對(duì)象調(diào)用方法 Fail越來越重要。

　　下面展示了如何將自定義要求添加到策略（請(qǐng)注意線上線下，由于這是自定義要求，因此沒(méi)有擴(kuò)展方法醒悟，而必須繼續(xù)處理策略對(duì)象的整個(gè) Requirements 集合）：

　　services.AddAuthorization(options =>{ options.AddPolicy("AtLeast3Years", policy => policy .Requirements .Add(newExperienceRequirement(3)));});

　　此外數據顯示，還需要在 IAuthorizationHandler 類型的范圍內(nèi)向 DI 系統(tǒng)注冊(cè)新的處理程序：

　　services.AddSingleton c.Type == "EditorSince")) returnTask.CompletedTask; varsince = user.FindFirst("EditorSince").Value.ToInt(); if(since >= requirement.Years) context.Succeed(requirement); returnTask.CompletedTask; }}

　　示例授權(quán)處理程序讀取與用戶關(guān)聯(lián)的聲明，并檢查自定義 EditorSince 聲明也逐步提升。如果找不到記得牢，處理程序便無(wú)法返回成功。只有在找到聲明且包含的整數(shù)值不低于指定年數(shù)時(shí)重要的作用，才能返回成功更多可能性。

　　自定義聲明應(yīng)為一條信息，以某種方式與保存到身份驗(yàn)證 Cookie 中的用戶相關(guān)聯(lián)（例如足夠的實力，“用戶”表中的列）緊迫性。

　　不過(guò)，一旦保留對(duì)用戶的引用更適合，便始終可以從聲明中找到用戶名ASPCMS批量更新文章高效，并對(duì)任何數(shù)據(jù)庫(kù)或外部服務(wù)運(yùn)行查詢，以獲取經(jīng)驗(yàn)?zāi)陻?shù)要素配置改革，從而在處理程序中使用此信息體系。（我承認(rèn)，如果 EditorSince 值保留 DateTime帶動產業發展，并計(jì)算用戶擔(dān)任編輯者是否已有一定年數(shù)責任製，此示例會(huì)更真實(shí)一點(diǎn)持續發展。）

　　授權(quán)處理程序調(diào)用方法 Succeed，同時(shí)傳遞當(dāng)前要求促進善治，以通知此要求已成功得到驗(yàn)證擴大。如果沒(méi)有傳遞要求，處理程序無(wú)需執(zhí)行任何操作發揮效力，可以直接返回內(nèi)容新格局。不過(guò)，如果處理程序要確定是否不符合要求（無(wú)論其他處理程序是否已成功驗(yàn)證同一要求）安全鏈，將會(huì)對(duì)授權(quán)上下文對(duì)象調(diào)用方法 Fail顯示。

　　下面展示了如何將自定義要求添加到策略（請(qǐng)注意，由于這是自定義要求真正做到，因此沒(méi)有擴(kuò)展方法科普活動，而必須繼續(xù)處理策略對(duì)象的整個(gè) Requirements 集合）：

　　services.AddAuthorization(options =>{ options.AddPolicy("AtLeast3Years", policy => policy .Requirements .Add(newExperienceRequirement(3)));});

　　此外，還需要在 IAuthorizationHandler 類型的范圍內(nèi)向 DI 系統(tǒng)注冊(cè)新的處理程序：

　　services.AddSingleton= requirement.Years) context.Succeed(requirement); returnTask.CompletedTask; }}

　　示例授權(quán)處理程序讀取與用戶關(guān)聯(lián)的聲明調整推進，并檢查自定義 EditorSince 聲明狀況。如果找不到，處理程序便無(wú)法返回成功機製。只有在找到聲明且包含的整數(shù)值不低于指定年數(shù)時(shí)全過程，才能返回成功。

　　自定義聲明應(yīng)為一條信息探討，以某種方式與保存到身份驗(yàn)證 Cookie 中的用戶相關(guān)聯(lián)（例如不負眾望，“用戶”表中的列）。

　　不過(guò)調解製度，一旦保留對(duì)用戶的引用精準調控，便始終可以從聲明中找到用戶名，并對(duì)任何數(shù)據(jù)庫(kù)或外部服務(wù)運(yùn)行查詢應用的因素之一，以獲取經(jīng)驗(yàn)?zāi)陻?shù)解決，從而在處理程序中使用此信息。（我承認(rèn)善於監督，如果 EditorSince 值保留 DateTime集成技術，并計(jì)算用戶擔(dān)任編輯者是否已有一定年數(shù)，此示例會(huì)更真實(shí)一點(diǎn)更合理。）

　　授權(quán)處理程序調(diào)用方法 Succeed適應能力，同時(shí)傳遞當(dāng)前要求，以通知此要求已成功得到驗(yàn)證各方面。如果沒(méi)有傳遞要求防控，處理程序無(wú)需執(zhí)行任何操作，可以直接返回內(nèi)容。不過(guò)堅實基礎，如果處理程序要確定是否不符合要求（無(wú)論其他處理程序是否已成功驗(yàn)證同一要求）稍有不慎，將會(huì)對(duì)授權(quán)上下文對(duì)象調(diào)用方法 Fail。

　　下面展示了如何將自定義要求添加到策略（請(qǐng)注意等地，由于這是自定義要求最為顯著，因此沒(méi)有擴(kuò)展方法，而必須繼續(xù)處理策略對(duì)象的整個(gè) Requirements 集合）：

　　services.AddAuthorization(options =>{ options.AddPolicy("AtLeast3Years", policy => policy .Requirements .Add(newExperienceRequirement(3)));});

　　此外規定，還需要在 IAuthorizationHandler 類型的范圍內(nèi)向 DI 系統(tǒng)注冊(cè)新的處理程序：

　　services.AddSingleton{ options.AddPolicy("AtLeast3Years", policy => policy .Requirements .Add(newExperienceRequirement(3)));});

　　此外環境，還需要在 IAuthorizationHandler 類型的范圍內(nèi)向 DI 系統(tǒng)注冊(cè)新的處理程序：

　　services.AddSingleton policy .Requirements .Add(newExperienceRequirement(3)));});

　　此外，還需要在 IAuthorizationHandler 類型的范圍內(nèi)向 DI 系統(tǒng)注冊(cè)新的處理程序：

　　services.AddSingleton();

　　如前所述責任，要求可包含多個(gè)處理程序應用情況。如果為授權(quán)層的同一要求向 DI 系統(tǒng)注冊(cè)多個(gè)處理程序，有一個(gè)成功就足夠了組建。

　　訪問(wèn)當(dāng)前 HttpContext

　　在實(shí)現(xiàn)授權(quán)處理程序的過(guò)程中表現，可能需要檢查請(qǐng)求屬性或路由數(shù)據(jù)，如下所示：

　　if(context.Resource isAuthorizationFilterContext mvc){ varurl = mvc.HttpContext.Request.GetDisplayUrl(); ...}

　　在 ASP.NET Core 中深刻變革，AuthorizationHandlerContext 對(duì)象向 FilterContext 對(duì)象公開(kāi) Resource 屬性集結論。上下文對(duì)象因所涉及的框架而異。例如著力增加，MVC 和 SignalR 發(fā)送自己的特定對(duì)象智能化。是否發(fā)生轉(zhuǎn)換視需要訪問(wèn)的內(nèi)容而定。例如處理，用戶信息始終可用，所以無(wú)需為此進(jìn)行轉(zhuǎn)換在此基礎上；但若要獲取 MVC 專屬詳細(xì)信息（如路由信息）助力各行，則需要進(jìn)行轉(zhuǎn)換。

　　總結(jié)

　　在 ASP.NET Core 中自主研發，授權(quán)分為兩種確定性。一種是基于角色的傳統(tǒng)授權(quán)，它的工作原理與在經(jīng)典 ASP.NET MVC 中的工作原理相同損耗，但仍存在相當(dāng)平面化的結(jié)構(gòu)限制講故事，不適合表達(dá)復(fù)雜的授權(quán)邏輯。

　　基于策略的身份驗(yàn)證是一種新方法性能穩定，可提供更豐富全面革新、更易表達(dá)的模型。這是因?yàn)榍闆r正常，策略包含一系列基于聲明的要求行業分類，以及基于可?HTTP 上下文或外部源注入的其他任何信息的自定義邏輯。這些要求各自與一個(gè)或多個(gè)處理程序相關(guān)聯(lián)提高鍛煉，這些處理程序負(fù)責(zé)要求的實(shí)際計(jì)算發展邏輯。

　　Dino Esposito是《Microsoft .NET：構(gòu)建面向企業(yè)的應(yīng)用程序》（Microsoft Press凝聚力量，2014 年）和《使用 ASP.NET 構(gòu)建新型 Web 應(yīng)用程序》（Microsoft Press，2016 年）的作者聽得進。作為 JetBrains 的 .NET 和 Android 平臺(tái)的技術(shù)推廣人員新的力量，Esposito 經(jīng)常在全球行業(yè)活動(dòng)中發(fā)表演講，并在 [email protected] 上以及 Twitter @despos 上的推文中分享他對(duì)于軟件的愿景各項要求。