问题描述
场景:具有“查看”权限的用户 1 可以查看列表中的所有其他用户个人资料,当他们点击个人资料时,他们将被定向到该个人资料页面。
没有权限的用户 2 可以查看用户个人资料列表,但只能点击自己的个人资料查看,否则会被重定向到禁止访问。
不确定实施此授权检查的最佳方法。目前正在尝试使用这个问题的答案:Adding .Net Core Policy with variable Parameters on Requirements
但我不知道如何从该控制器方法发送 id 参数并首先检查用户是否具有“查看”权限
[HttpGet("{id:int:min(1)}")]
[CustomAuthorizeAttribute(id)] // doesnt work
public async Task<ActionResult> GetUser(int id)
解决方法
在那个解决方案中,该参数是开发中的某个值,不是从路由中获取的。 [CustomAuthorizeAttribute(id)] 在项目启动时被扫描,它不同于 [HttpGet("{id:int:min(1)}")]。
在这种情况下,我认为您不需要定义 CustomAuthorizeAttribute。如果一个用户可以查看所有个人资料,则需要在生成令牌时为该用户添加声明 View。
new Claim("Permission","View")
在GetUser的时候,只需要判断用户是否有claim。
[HttpGet("{id:int:min(1)}")]
public async Task<ActionResult> GetUser(int id)
{
if(User.Claims.Contains(new Claim("Permission","View")))
{
//...
return View();
}else if(User.Claims.Contains(new Claim("id",id.ToString())))
{
//own id can view own profile
return View();
}
else
{
return Forbid();
}
}