我在我的((System.Security.Claims.ClaimsIdentity)User.Identity).Claims 看到这个:
如何使用从 Azure AD 获取的这些组 GUID(以基于组成员身份保护端点)?
[Authorize(Roles="<group guid here>")]
或
[Authorize("<group guid here>")]
或者我需要在startup.cs 文件中进行设置吗?
【问题讨论】:
标签: c# asp.net-core authorization azure-active-directory
您可以在 asp.net core 中使用策略,使用具有命名策略的属性,然后在启动时定义策略以要求组声明并设置允许的组 ID:
public void ConfigureServices(IServiceCollection services)
{
// Add MVC services to the services container.
services.AddMvc();
// Add Authentication services.
services.AddAuthentication(sharedOptions => sharedOptions.SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme);
services.AddAuthorization(options =>
{
options.AddPolicy(
"CanAccessGroup",
policyBuilder => policyBuilder.RequireClaim("groups", "8e39f882-3453-4aeb-9efa-f6ac6ad8e2e0"));
});
}
然后在控制器中:
[Authorize(Policy = "CanAccessGroup")]
public IActionResult Contact()
{
ViewData["Message"] = "Your contact page.";
return View();
}
如果组 id 不在用户组声明中,它将重定向用户访问拒绝页面,您也可以编写策略规则逻辑,如 here 所示。
【讨论】: