我编写了.Net核心API,但我的API本身没有任何身份验证或授权逻辑。身份验证和授权由单独的系统处理,因此,为了保护我的端点,我需要将每个传入的请求转发到外部系统,并根据从外部系统返回的值来确定用户是否已通过身份验证。
我想知道实现这样的最佳方法是什么,因为我认为可以通过CustomAuthorize属性或middleware添加来实现CustomAuthPolicy。.NET核心Auth中有很多零碎的部分,如果有人可以向正确的方向指导我,我将非常感激。
这是我当前正在使用的解决方案:
该解决方案效果很好,如果您在引用的项目中具有以下内容,则可以轻松地重用它。
创建一个自定义属性:
[AttributeUsage(AttributeTargets.All, AllowMultiple = false)]
public class MyAuthAttr : ActionFilterAttribute
{
//Add Auth logic here using HttpClient or whatever you use to authenticate.
//You can access your headers through actionContext.HttpContext.Request.Headers
//When completed with your logic, you can continue your controller execution
base.OnActionExecuting(actionContext);
}
此属性可以这样应用于您的控制器:
[MyAuthAttr]
public class MySecureControllerController {...}
这可以作为全局身份验证应用于控制器的类,也可以作为特定身份验证应用于控制器中的任何端点。
因此,这也将起作用:
[Route("Do")]
[MyAuthAttr]
public IActionResult DoThaThing(Foo foo) {...}
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句