我有一个使用 Windows 身份验证的 MVC .NetCore 3.0 Web 应用程序,我想为 SQL 数据库上的每个用户添加角色/权限。我的想法是将他们的 AD 用户名与我创建的数据库表(用户、角色、权限)进行比较。如何才能做到这一点?我找到了用户创建自己帐户的文档,但没有找到任何使用 AD 的文档。
【问题讨论】:
标签: sql active-directory asp.net-core-mvc role-base-authorization
您可以使用IClaimsTransformation将您当前的windows身份验证用户与本地数据库用户关联,检查用户是否存在/角色/权限,您还可以将用户的自定义声明(例如角色)添加到 ClaimsPrincipal ,以便您可以以后直接从User.Claims获取属性:
public class ClaimsTransformer : IClaimsTransformation
{
public Task<ClaimsPrincipal> TransformAsync(ClaimsPrincipal principal)
{
var id = ((ClaimsIdentity)principal.Identity);
var ci = new ClaimsIdentity(id.Claims, id.AuthenticationType, id.NameClaimType, id.RoleClaimType);
//read database and create/check a user in local database , add custom claims in Principal
if (....)
{
ci.AddClaim(new Claim("localUserID", "XXX"));
}
else
{
ci.AddClaim(new Claim("localUserID", "XXXX"));
}
var cp = new ClaimsPrincipal(ci);
return Task.FromResult(cp);
}
}
services.AddTransient<IClaimsTransformation, ClaimsTransformer>();
【讨论】:
[Authorize(Roles="xxxx")] 将检查 ClaimsIdentity.RoleClaimType(schemas.microsoft.com/ws/2008/06/identity/claims/role) ,您的原则中是否有该声明?