c# – 用于开发和生产的.NET Core API条件验证属性

发布时间：2020-12-15 08:11:41 所属栏目：百科来源：网络整理

导读：简而言之,是否可以在我的API上放置基于环境的授权属性,以便在开发中关闭授权限制并在生产中重新启用？我有一个单独的Angular 2项目,我希望将其称为.NET Core API.我们创建了一个单独的项目,因此我们可以在vscode中打开Angular 2项目并调试typescript.完成后

简而言之,是否可以在我的API上放置基于环境的授权属性,以便在开发中关闭授权限制并在生产中重新启用？

我有一个单独的Angular 2项目,我希望将其称为.NET Core API.我们创建了一个单独的项目,因此我们可以在vscode中打开Angular 2项目并调试typescript.完成后,出于安全原因,我们将构建项目并将其放在.NET Core项目中.

我们的问题是在调试阶段,我们无法连接到API,因为它们是两个独立的项目,而我们的Angular 2项目没有Active Directory. .NET Core项目目前具有身份验证属性,不允许访问API(401).如果我们能够在开发过程中关闭它并在生产过程中重新开启,那将是很好的.

我也对如何最好地解决这个问题提出任何其他建议.

[Authorize: (Only in Production)] <-- // something like this???
[Route("api/[controller]")]
public class TestController : Controller
{
    ...

解决方法

ASP.NET核心授权基于策略.您可能已经看到,AuthorizeAttribute可以采用策略名称,因此它知道要授权的请求需要满足哪些条件.我建议您阅读有关该主题的 great documentation.

回到你的问题,看起来你没有使用特定的策略,所以它使用默认的策略,默认情况下为requires the user to be authenticated.

您可以在Startup.cs中更改该行为.如果您处于开发模式,则可以重新定义默认策略,使其不具有任何要求：

public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthorization(x =>
    {
        // _env is of type IHostingEnvironment,which you can inject in
        // the ctor of Startup
        if (_env.IsDevelopment())
        {
            x.DefaultPolicy = new AuthorizationPolicyBuilder().Build();
        }
    });
}

更新

im1dermike在评论中提到AuthorizationPolicy至少需要一个要求,我们可以看到here.最近没有引入该代码,所以这意味着上面的解决方案一直都被打破了.

要解决此问题,我们仍然可以利用AuthorizationPolicyBuilder的RequireAssertion方法并添加虚拟需求.这看起来像：

public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthorization(x =>
    {
        // _env is of type IHostingEnvironment,which you can inject in
        // the ctor of Startup
        if (_env.IsDevelopment())
        {
            x.DefaultPolicy = new AuthorizationPolicyBuilder()
                .RequireAssertion(_ => true)
                .Build();
        }
    });
}

这确保我们在授权策略中至少有一个要求,并且我们知道它将始终通过.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!