自定义授权（限制）

Question

我想创建一个接受BranchId、StaffId 和RoleId 的自定义授权。仅允许员工在登录应用程序时仅查看他的分支机构，因为branchId 是添加的员工网址的一部分。

我设法从url获取id并传递给字符串，但我不知道如何使用这个id来检查当前用户的branch id，然后检查工作人员是否应该在允许访问之前在分支上以及担任什么角色。

这是我的例子。我是.net 的新手。这种方法怎么办？

protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context,
                                                     RestrictViewRequirement requirement)
{
    int? branchId = null;     
    if (context.Resource is AuthorizationFilterContext authContext)
    {
        var tmp = authContext.HttpContext.Request.Query["branchId"].ToString();

        if (!string.IsNullOrEmpty(tmp))
        {
            branchId = int.Parse(tmp);
        }
    }
}

Answer 1

您可以将用户的分支 id 添加为声明，然后将其与您从 URL 获取的分支 id 进行检查。

您可以在 GenerateUserIdentityAsync 函数中添加用户的分支 id 作为声明

// Add custom user claims here
userIdentity.AddClaim(new Claim("BranchId", "XYZ"));
return userIdentity;

现在，当您要检查它时，您可以从声明中获取分支 id。 您可以像这样取回索赔：

var ci = (ClaimsIdentity)HttpContext.Current.User.Identity;
var branchid = ci.Claims.FirstOrDefault(t => t.Type == "BranchId")?.Value;

Answer 2

如果您使用身份SignInManager 登录，您可以将UserManager 依赖注入到CustomAuthorizationHandler，然后您可以获得当前登录用户。

public class CustomAuthorizationHandler : AuthorizationHandler<RestrictViewRequirement>
{
    private readonly UserManager<IdentityUser> _userManager;

    public CustomAuthorizationHandler(UserManager<IdentityUser> userManager)
    {
        _userManager = userManager;
    }

    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, RestrictViewRequirement requirement)
    {
        var currentUser = _userManager.Users.FirstOrDefault();
        //....
        return Task.CompletedTask;
    }
}