আপনি কীভাবে এএসপি.নেট কোরে একটি কাস্টম অথরিজঅ্যাট্রিবিউট তৈরি করবেন?

আমি এএসপি.নেট কোরটিতে একটি কাস্টম অনুমোদনের বৈশিষ্ট্য তৈরি করার চেষ্টা করছি। পূর্ববর্তী সংস্করণগুলিতে ওভাররাইড করা সম্ভব ছিল bool AuthorizeCore(HttpContextBase httpContext)। তবে এটি আর বিদ্যমান নেই AuthorizeAttribute।

একটি কাস্টম অথারিাইজঅ্যাট্রিবিউট তৈরি করার জন্য বর্তমান পদ্ধতিটি কী?

আমি যেটি সম্পাদন করার চেষ্টা করছি: আমি শিরোনাম অনুমোদনে একটি সেশন আইডি পাচ্ছি। সেই আইডি থেকে আমি জানতে পারি যে কোনও নির্দিষ্ট ক্রিয়া বৈধ কিনা।

এএসপি. নেট কোর টিম দ্বারা প্রস্তাবিত পদ্ধতির মধ্যে রয়েছে নতুন নীতি নকশা যা সম্পূর্ণরূপে এখানে নথিভুক্ত রয়েছে তা ব্যবহার করা । নতুন পদ্ধতির পিছনে মূল ধারণাটি হ'ল "নীতি" নির্ধারণের জন্য নতুন [অনুমোদন] বৈশিষ্ট্যটি ব্যবহার করা (উদাহরণস্বরূপ [Authorize( Policy = "YouNeedToBe18ToDoThis")]যেখানে কোডের কিছু ব্লক কার্যকর করার জন্য নীতিটি অ্যাপ্লিকেশনটির স্টার্টআপ.সিগুলিতে নিবন্ধিত হয় (যেমন ব্যবহারকারীটির বয়সের দাবি রয়েছে তা নিশ্চিত করুন) যেখানে বয়স ১৮ বা তার বেশি)।

নীতি নকশা কাঠামোর একটি দুর্দান্ত সংযোজন এবং এএসপি. নেট সুরক্ষা কোর দলটির এটির জন্য প্রশংসা করা উচিত। এটি বলেছিল, এটি সব ক্ষেত্রেই উপযুক্ত নয়। এই পদ্ধতির ঘাটতি হ'ল এটি যে কোনও প্রদত্ত নিয়ামক বা ক্রিয়াকলাপে প্রদত্ত দাবি প্রকারের প্রয়োজন তা কেবল সাধারণভাবে দাবি করার সর্বাধিক সাধারণ প্রয়োজনের জন্য একটি সুবিধাজনক সমাধান সরবরাহ করতে ব্যর্থ হয়। যে ক্ষেত্রে কোনও অ্যাপ্লিকেশনটিতে পৃথক আরএসটি সংস্থাগুলিতে ("ক্যানক্রিটআর্ডার", "ক্যানআরেডআর্ডার", "ক্যানUpdateOrder", "CanDeleteOrder", ইত্যাদি) উপর CRUD ক্রিয়াকলাপ পরিচালনা করতে কয়েকশ বিচ্ছিন্ন অনুমতি থাকতে পারে, সেই ক্ষেত্রে নতুন পদ্ধতির জন্য হয় পুনরায় এক-থেকে- পলিসির নাম এবং দাবির নামের মধ্যে একটি ম্যাপিং (উদাঃoptions.AddPolicy("CanUpdateOrder", policy => policy.RequireClaim(MyClaimTypes.Permission, "CanUpdateOrder));), বা রান রেজিস্ট্রিগুলিতে এই রেজিস্ট্রেশনগুলি সম্পাদন করতে কিছু কোড লিখুন (উদাহরণস্বরূপ একটি ডাটাবেস থেকে সমস্ত দাবির ধরণ পড়ুন এবং একটি লুপে উপরোক্ত কলটি সম্পাদন করুন)। বেশিরভাগ ক্ষেত্রে এই পদ্ধতির সমস্যাটি হ'ল এটি অপ্রয়োজনীয় ওভারহেড।

যদিও এএসপি.নেট কোর সিকিউরিটি টিম কখনও কখনও নিজের সমাধান তৈরি না করার পরামর্শ দেয়, কিছু ক্ষেত্রে এটি সবচেয়ে বুদ্ধিমান বিকল্প হতে পারে যা দিয়ে শুরু করা উচিত।

নিম্নলিখিতটি এমন একটি বাস্তবায়ন যা IAuthorizationFilter ব্যবহার করে কোনও প্রদত্ত নিয়ামক বা পদক্ষেপের জন্য দাবির প্রয়োজনীয়তা প্রকাশ করার একটি সহজ উপায় সরবরাহ করে:

public class ClaimRequirementAttribute : TypeFilterAttribute
{
    public ClaimRequirementAttribute(string claimType, string claimValue) : base(typeof(ClaimRequirementFilter))
    {
        Arguments = new object[] {new Claim(claimType, claimValue) };
    }
}

public class ClaimRequirementFilter : IAuthorizationFilter
{
    readonly Claim _claim;

    public ClaimRequirementFilter(Claim claim)
    {
        _claim = claim;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var hasClaim = context.HttpContext.User.Claims.Any(c => c.Type == _claim.Type && c.Value == _claim.Value);
        if (!hasClaim)
        {
            context.Result = new ForbidResult();
        }
    }
}


[Route("api/resource")]
public class MyController : Controller
{
    [ClaimRequirement(MyClaimTypes.Permission, "CanReadResource")]
    [HttpGet]
    public IActionResult GetResource()
    {
        return Ok();
    }
}

আমি এসপি নেট নিরাপত্তা ব্যক্তি। প্রথমে আমাকে ক্ষমা চাইতে দিন যে মিউজিক স্টোরের নমুনা বা ইউনিট পরীক্ষার বাইরে এখনও এগুলির কোনওটিই নথিভুক্ত করা হয়নি, এবং এটি সমস্ত এখনও উন্মুক্ত এপিআইয়ের ক্ষেত্রে পরিমার্জনযোগ্য। বিস্তারিত ডকুমেন্টেশন এখানে ।

আমরা চাই না আপনি কাস্টম অনুমোদনের বৈশিষ্ট্য লিখুন। আপনার যদি এটি করার দরকার হয় তবে আমরা কিছু ভুল করেছি। পরিবর্তে, আপনি অনুমোদনের প্রয়োজনীয়তা লিখতে হবে ।

অনুমোদন পরিচয়ের উপরে কাজ করে। প্রমাণীকরণ দ্বারা পরিচয় তৈরি করা হয়।

আপনি মন্তব্যগুলিতে বলেছেন যে আপনি একটি শিরোনামে একটি সেশন আইডি চেক করতে চান। আপনার সেশন আইডি পরিচয়ের ভিত্তি হবে। যদি আপনি Authorizeযে শিরোনামটি ব্যবহার করতে চান আপনি সেই শিরোনামটি গ্রহণ করতে এবং এটি একটি প্রমাণীকরণে পরিণত করতে একটি প্রমাণীকরণ মিডলওয়্যার লিখতে চান ClaimsPrincipal। তারপরে আপনি এটি অনুমোদনের প্রয়োজনীয়তার ভিতরে পরীক্ষা করতে পারেন। অনুমোদনের প্রয়োজনীয়তা আপনার পছন্দ মতো জটিল হতে পারে, উদাহরণস্বরূপ, এখানে একটি যা বর্তমান পরিচয় নিয়ে জন্মের তারিখ গ্রহণ করে এবং যদি ব্যবহারকারী 18 বছরের বেশি হয়ে থাকে তবে অনুমোদিত হবে;

public class Over18Requirement : AuthorizationHandler<Over18Requirement>, IAuthorizationRequirement
{
        public override void Handle(AuthorizationHandlerContext context, Over18Requirement requirement)
        {
            if (!context.User.HasClaim(c => c.Type == ClaimTypes.DateOfBirth))
            {
                context.Fail();
                return;
            }

            var dateOfBirth = Convert.ToDateTime(context.User.FindFirst(c => c.Type == ClaimTypes.DateOfBirth).Value);
            int age = DateTime.Today.Year - dateOfBirth.Year;
            if (dateOfBirth > DateTime.Today.AddYears(-age))
            {
                age--;
            }

            if (age >= 18)
            {
                context.Succeed(requirement);
            }
            else
            {
                context.Fail();
            }
        }
    }
}

তারপরে আপনার ConfigureServices()ফাংশনে আপনি এটিটি তারের করে তুলবেন

services.AddAuthorization(options =>
{
    options.AddPolicy("Over18", 
        policy => policy.Requirements.Add(new Authorization.Over18Requirement()));
});

এবং পরিশেষে, এটি একটি নিয়ামক বা ক্রিয়া পদ্ধতিতে প্রয়োগ করুন

[Authorize(Policy = "Over18")]

দেখে মনে হচ্ছে এএসপি.নেট কোর 2 দিয়ে আপনি আবার উত্তরাধিকারী হতে পারেন AuthorizeAttribute, আপনাকে কেবল IAuthorizationFilter(বা IAsyncAuthorizationFilter) প্রয়োগ করতে হবে :

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class CustomAuthorizeAttribute : AuthorizeAttribute, IAuthorizationFilter
{
    private readonly string _someFilterParameter;

    public CustomAuthorizeAttribute(string someFilterParameter)
    {
        _someFilterParameter = someFilterParameter;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var user = context.HttpContext.User;

        if (!user.Identity.IsAuthenticated)
        {
            // it isn't needed to set unauthorized result 
            // as the base class already requires the user to be authenticated
            // this also makes redirect to a login page work properly
            // context.Result = new UnauthorizedResult();
            return;
        }

        // you can also use registered services
        var someService = context.HttpContext.RequestServices.GetService<ISomeService>();

        var isAuthorized = someService.IsUserAuthorized(user.Identity.Name, _someFilterParameter);
        if (!isAuthorized)
        {
            context.Result = new StatusCodeResult((int)System.Net.HttpStatusCode.Forbidden);
            return;
        }
    }
}

ডেরেক গ্রেয়ার গ্রেট উত্তরের উপর ভিত্তি করে , আমি এটি এনামগুলি দিয়ে করেছি।

এখানে আমার কোডের উদাহরণ রয়েছে:

public enum PermissionItem
{
    User,
    Product,
    Contact,
    Review,
    Client
}

public enum PermissionAction
{
    Read,
    Create,
}


public class AuthorizeAttribute : TypeFilterAttribute
{
    public AuthorizeAttribute(PermissionItem item, PermissionAction action)
    : base(typeof(AuthorizeActionFilter))
    {
        Arguments = new object[] { item, action };
    }
}

public class AuthorizeActionFilter : IAuthorizationFilter
{
    private readonly PermissionItem _item;
    private readonly PermissionAction _action;
    public AuthorizeActionFilter(PermissionItem item, PermissionAction action)
    {
        _item = item;
        _action = action;
    }
    public void OnAuthorization(AuthorizationFilterContext context)
    {
        bool isAuthorized = MumboJumboFunction(context.HttpContext.User, _item, _action); // :)

        if (!isAuthorized)
        {
            context.Result = new ForbidResult();
        }
    }
}

public class UserController : BaseController
{
    private readonly DbContext _context;

    public UserController( DbContext context) :
        base()
    {
        _logger = logger;
    }

    [Authorize(PermissionItem.User, PermissionAction.Read)]
    public async Task<IActionResult> Index()
    {
        return View(await _context.User.ToListAsync());
    }
}

আপনি আপনার নিজস্ব অনুমোদন হ্যান্ডলার তৈরি করতে পারেন যা আপনার কন্ট্রোলার এবং ক্রিয়াকলাপগুলিতে কাস্টম বৈশিষ্ট্যগুলি খুঁজে পেতে পারে এবং সেগুলি হ্যান্ডেলরিক্যুরিমেন্টঅ্যাকশন পদ্ধতিতে প্রেরণ করে।

public abstract class AttributeAuthorizationHandler<TRequirement, TAttribute> : AuthorizationHandler<TRequirement> where TRequirement : IAuthorizationRequirement where TAttribute : Attribute
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, TRequirement requirement)
    {
        var attributes = new List<TAttribute>();

        var action = (context.Resource as AuthorizationFilterContext)?.ActionDescriptor as ControllerActionDescriptor;
        if (action != null)
        {
            attributes.AddRange(GetAttributes(action.ControllerTypeInfo.UnderlyingSystemType));
            attributes.AddRange(GetAttributes(action.MethodInfo));
        }

        return HandleRequirementAsync(context, requirement, attributes);
    }

    protected abstract Task HandleRequirementAsync(AuthorizationHandlerContext context, TRequirement requirement, IEnumerable<TAttribute> attributes);

    private static IEnumerable<TAttribute> GetAttributes(MemberInfo memberInfo)
    {
        return memberInfo.GetCustomAttributes(typeof(TAttribute), false).Cast<TAttribute>();
    }
}

তারপরে আপনি এটি আপনার নিয়ন্ত্রক বা ক্রিয়াকলাপগুলির জন্য আপনার যে কোনও কাস্টম বৈশিষ্ট্যের প্রয়োজন হিসাবে ব্যবহার করতে পারেন। উদাহরণস্বরূপ অনুমতি প্রয়োজনীয়তা যোগ করুন। শুধু আপনার কাস্টম বৈশিষ্ট্য তৈরি করুন।

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true)]
public class PermissionAttribute : AuthorizeAttribute
{
    public string Name { get; }

    public PermissionAttribute(string name) : base("Permission")
    {
        Name = name;
    }
}

তারপরে আপনার নীতিতে যুক্ত করতে একটি প্রয়োজনীয়তা তৈরি করুন

public class PermissionAuthorizationRequirement : IAuthorizationRequirement
{
    //Add any custom requirement properties if you have them
}

তারপরে আপনার কাস্টম অ্যাট্রিবিউটের জন্য অথরিয়েশনহ্যান্ডলার তৈরি করুন, আমরা আগে তৈরি করা অ্যাট্রিবিউটআর্টিফিকেশনহ্যান্ডলারের উত্তরাধিকারী। এটি আপনার কন্ট্রোলার এবং অ্যাকশন থেকে সংগৃহীত হ্যান্ডলরিকিউরিমেন্টসাইঙ্ক পদ্ধতিতে আপনার সমস্ত কাস্টম বৈশিষ্ট্যের জন্য একটি IEnumerable পাস হবে।

public class PermissionAuthorizationHandler : AttributeAuthorizationHandler<PermissionAuthorizationRequirement, PermissionAttribute>
{
    protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, PermissionAuthorizationRequirement requirement, IEnumerable<PermissionAttribute> attributes)
    {
        foreach (var permissionAttribute in attributes)
        {
            if (!await AuthorizeAsync(context.User, permissionAttribute.Name))
            {
                return;
            }
        }

        context.Succeed(requirement);
    }

    private Task<bool> AuthorizeAsync(ClaimsPrincipal user, string permission)
    {
        //Implement your custom user permission logic here
    }
}

এবং পরিশেষে, আপনার স্টার্টআপ.সি কনফিগার সার্ভিস পদ্ধতিতে, আপনার কাস্টম অনুমোদন হ্যান্ডলারকে পরিষেবাগুলিতে যুক্ত করুন এবং আপনার নীতি যুক্ত করুন।

        services.AddSingleton<IAuthorizationHandler, PermissionAuthorizationHandler>();

        services.AddAuthorization(options =>
        {
            options.AddPolicy("Permission", policyBuilder =>
            {
                policyBuilder.Requirements.Add(new PermissionAuthorizationRequirement());
            });
        });

এখন আপনি নিজের কাস্টম বৈশিষ্ট্য সহ আপনার কন্ট্রোলার এবং ক্রিয়াগুলি কেবল সজ্জিত করতে পারেন।

[Permission("AccessCustomers")]
public class CustomersController
{
    [Permission("AddCustomer")]
    IActionResult AddCustomer([FromBody] Customer customer)
    {
        //Add customer
    }
}

একটি কাস্টম অথারিাইজঅ্যাট্রিবিউট তৈরি করার জন্য বর্তমান পদ্ধতিটি কী

সহজ: নিজের তৈরি করবেন না AuthorizeAttribute।

খাঁটি অনুমোদনের পরিস্থিতিতে (কেবলমাত্র নির্দিষ্ট ব্যবহারকারীদের অ্যাক্সেসকে সীমাবদ্ধ রাখার মতো) প্রস্তাবিত পদ্ধতিটি হ'ল নতুন অনুমোদন ব্লকটি ব্যবহার করুন: https://github.com/aspnet/MusicStore/blob/1c0aeb08bb1ebd846726232226279bbe001782e1/sams/MusicStore/Startup.cs#L84 -L92

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.Configure<AuthorizationOptions>(options =>
        {
            options.AddPolicy("ManageStore", policy => policy.RequireClaim("Action", "ManageStore"));
        });
    }
}

public class StoreController : Controller
{
    [Authorize(Policy = "ManageStore"), HttpGet]
    public async Task<IActionResult> Manage() { ... }
}

প্রমাণীকরণের জন্য, এটি সেরা মিডলওয়্যার স্তরে পরিচালনা করা হয়।

আপনি ঠিক কী অর্জন করার চেষ্টা করছেন?

যদি কেউ কেবলমাত্র বর্তমান সুরক্ষা অনুশীলনগুলি ব্যবহার করে অনুমোদনের পর্যায়ে কোনও ধারক টোকেনকে বৈধতা দিতে চান,

এটি আপনার স্টার্টআপ / কনফিগার সার্ভিসগুলিতে যুক্ত করুন

    services.AddSingleton<IAuthorizationHandler, BearerAuthorizationHandler>();
    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer();

    services.AddAuthorization(options => options.AddPolicy("Bearer",
        policy => policy.AddRequirements(new BearerRequirement())
        )
    );

এবং এটি আপনার কোডবেসে,

public class BearerRequirement : IAuthorizationRequirement
{
    public async Task<bool> IsTokenValid(SomeValidationContext context, string token)
    {
        // here you can check if the token received is valid 
        return true;
    }
}

public class BearerAuthorizationHandler : AuthorizationHandler<BearerRequirement> 
{

    public BearerAuthorizationHandler(SomeValidationContext thatYouCanInject)
    {
       ...
    }

    protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, BearerRequirement requirement)
    {
        var authFilterCtx = (Microsoft.AspNetCore.Mvc.Filters.AuthorizationFilterContext)context.Resource;
        string authHeader = authFilterCtx.HttpContext.Request.Headers["Authorization"];
        if (authHeader != null && authHeader.Contains("Bearer"))
        {
            var token = authHeader.Replace("Bearer ", string.Empty);
            if (await requirement.IsTokenValid(thatYouCanInject, token))
            {
                context.Succeed(requirement);
            }
        }
    }
}

কোডটি না পৌঁছালে context.Succeed(...)এটি যাইহোক (401) ব্যর্থ হবে।

এবং তারপরে আপনার নিয়ন্ত্রকদের মধ্যে আপনি ব্যবহার করতে পারেন

 [Authorize(Policy = "Bearer", AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]

আধুনিক উপায় হ'ল প্রমাণীকরণহ্যান্ডার্স

startup.cs এ যোগ করুন

services.AddAuthentication("BasicAuthentication").AddScheme<AuthenticationSchemeOptions, BasicAuthenticationHandler>("BasicAuthentication", null);

public class BasicAuthenticationHandler : AuthenticationHandler<AuthenticationSchemeOptions>
    {
        private readonly IUserService _userService;

        public BasicAuthenticationHandler(
            IOptionsMonitor<AuthenticationSchemeOptions> options,
            ILoggerFactory logger,
            UrlEncoder encoder,
            ISystemClock clock,
            IUserService userService)
            : base(options, logger, encoder, clock)
        {
            _userService = userService;
        }

        protected override async Task<AuthenticateResult> HandleAuthenticateAsync()
        {
            if (!Request.Headers.ContainsKey("Authorization"))
                return AuthenticateResult.Fail("Missing Authorization Header");

            User user = null;
            try
            {
                var authHeader = AuthenticationHeaderValue.Parse(Request.Headers["Authorization"]);
                var credentialBytes = Convert.FromBase64String(authHeader.Parameter);
                var credentials = Encoding.UTF8.GetString(credentialBytes).Split(new[] { ':' }, 2);
                var username = credentials[0];
                var password = credentials[1];
                user = await _userService.Authenticate(username, password);
            }
            catch
            {
                return AuthenticateResult.Fail("Invalid Authorization Header");
            }

            if (user == null)
                return AuthenticateResult.Fail("Invalid User-name or Password");

            var claims = new[] {
                new Claim(ClaimTypes.NameIdentifier, user.Id.ToString()),
                new Claim(ClaimTypes.Name, user.Username),
            };
            var identity = new ClaimsIdentity(claims, Scheme.Name);
            var principal = new ClaimsPrincipal(identity);
            var ticket = new AuthenticationTicket(principal, Scheme.Name);

            return AuthenticateResult.Success(ticket);
        }
    }

আইইউসার সার্ভিস এমন একটি পরিষেবা যা আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড রয়েছে make মূলত এটি আপনার ব্যবহারকারীর ক্লাসটি ফিরিয়ে দেয় যা আপনি নিজের দাবির মানচিত্র তৈরি করতে ব্যবহার করেন।

var claims = new[] {
                new Claim(ClaimTypes.NameIdentifier, user.Id.ToString()),
                new Claim(ClaimTypes.Name, user.Username),
            }; 

তারপরে আপনি এই দাবির বিষয়ে জিজ্ঞাসা করতে পারবেন এবং আপনার ম্যাপ করা কোনও ডেটা তার কাছে বেশ কয়েকটি, দাবী টাইপ ক্লাসে দেখুন

আপনি এটিকে কোনও এক্সটেনশন পদ্ধতিতে ব্যবহার করতে পারেন ম্যাপিংগুলির যে কোনওটি পান

public int? GetUserId()
{
   if (context.User.Identity.IsAuthenticated)
    {
       var id=context.User.FindFirst(ClaimTypes.NameIdentifier);
       if (!(id is null) && int.TryParse(id.Value, out var userId))
            return userId;
     }
      return new Nullable<int>();
 }

এই নতুন উপায়, আমি মনে করি এর চেয়ে ভাল

public class BasicAuthenticationAttribute : AuthorizationFilterAttribute
{
    public override void OnAuthorization(HttpActionContext actionContext)
    {
        if (actionContext.Request.Headers.Authorization != null)
        {
            var authToken = actionContext.Request.Headers.Authorization.Parameter;
            // decoding authToken we get decode value in 'Username:Password' format
            var decodeauthToken = System.Text.Encoding.UTF8.GetString(Convert.FromBase64String(authToken));
            // spliting decodeauthToken using ':'
            var arrUserNameandPassword = decodeauthToken.Split(':');
            // at 0th postion of array we get username and at 1st we get password
            if (IsAuthorizedUser(arrUserNameandPassword[0], arrUserNameandPassword[1]))
            {
                // setting current principle
                Thread.CurrentPrincipal = new GenericPrincipal(new GenericIdentity(arrUserNameandPassword[0]), null);
            }
            else
            {
                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);
            }
        }
        else
        {
            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);
        }
    }

    public static bool IsAuthorizedUser(string Username, string Password)
    {
        // In this method we can handle our database logic here...
        return Username.Equals("test") && Password == "test";
    }
}

এই লেখার হিসাবে আমি বিশ্বাস করি এটি এসপ নেট কোর 2 এবং উপরের আইক্লেইমস ট্রান্সফর্মেশন ইন্টারফেসের সাথে সম্পন্ন করা যায়। আমি কেবল ধারণার একটি প্রমাণ বাস্তবায়ন করেছি যা এখানে পোস্ট করার পক্ষে যথেষ্ট পরিশ্রমযোগ্য।

public class PrivilegesToClaimsTransformer : IClaimsTransformation
{
    private readonly IPrivilegeProvider privilegeProvider;
    public const string DidItClaim = "http://foo.bar/privileges/resolved";

    public PrivilegesToClaimsTransformer(IPrivilegeProvider privilegeProvider)
    {
        this.privilegeProvider = privilegeProvider;
    }

    public async Task<ClaimsPrincipal> TransformAsync(ClaimsPrincipal principal)
    {
        if (principal.Identity is ClaimsIdentity claimer)
        {
            if (claimer.HasClaim(DidItClaim, bool.TrueString))
            {
                return principal;
            }

            var privileges = await this.privilegeProvider.GetPrivileges( ... );
            claimer.AddClaim(new Claim(DidItClaim, bool.TrueString));

            foreach (var privilegeAsRole in privileges)
            {
                claimer.AddClaim(new Claim(ClaimTypes.Role /*"http://schemas.microsoft.com/ws/2008/06/identity/claims/role" */, privilegeAsRole));
            }
        }

        return principal;
    }
}

আপনার কন্ট্রোলারে এটি ব্যবহার করতে কেবল [Authorize(Roles="whatever")]আপনার পদ্ধতিগুলিতে একটি উপযুক্ত যুক্ত করুন ।

[HttpGet]
[Route("poc")]
[Authorize(Roles = "plugh,blast")]
public JsonResult PocAuthorization()
{
    var result = Json(new
    {
        when = DateTime.UtcNow,
    });

    result.StatusCode = (int)HttpStatusCode.OK;

    return result;
}

আমাদের ক্ষেত্রে প্রতিটি অনুরোধে একটি অনুমোদনের শিরোনাম অন্তর্ভুক্ত যা একটি জেডাব্লুটিটি। এটিই প্রোটোটাইপ এবং আমি বিশ্বাস করি আমরা পরের সপ্তাহে আমাদের প্রযোজনা ব্যবস্থায় আমরা এর কাছাকাছি কিছু করব।

ভবিষ্যতের ভোটারগণ, আপনি ভোট দেওয়ার সময় লেখার তারিখটি বিবেচনা করুন। আজকের হিসাবে, এটি works on my machine.™ আপনি সম্ভবত আপনার প্রয়োগে আরও ত্রুটি পরিচালনা এবং লগ ইন করতে চাইবেন।

আমাদের অ্যাপে অনুমোদনের জন্য। অনুমোদনের বৈশিষ্ট্যে পাস হওয়া পরামিতিগুলির উপর ভিত্তি করে আমাদের একটি পরিষেবা কল করতে হয়েছিল।

উদাহরণস্বরূপ, যদি আমরা লগ ইন করা চিকিত্সক রোগীর অ্যাপয়েন্টমেন্টগুলি দেখতে পারেন কিনা তা পরীক্ষা করে দেখতে চাই আমরা কাস্টম অনুমোদিত অনুমোদনের জন্য "ভিউ_অপয়েন্টমেন্ট "টি পাস করব এবং ডিবি পরিষেবাতে সেই অধিকারটি পরীক্ষা করব এবং ফলাফলের ভিত্তিতে আমরা ক্রীড়া করব or এই দৃশ্যের কোড এখানে:

    public class PatientAuthorizeAttribute : TypeFilterAttribute
    {
    public PatientAuthorizeAttribute(params PatientAccessRights[] right) : base(typeof(AuthFilter)) //PatientAccessRights is an enum
    {
        Arguments = new object[] { right };
    }

    private class AuthFilter : IActionFilter
    {
        PatientAccessRights[] right;

        IAuthService authService;

        public AuthFilter(IAuthService authService, PatientAccessRights[] right)
        {
            this.right = right;
            this.authService = authService;
        }

        public void OnActionExecuted(ActionExecutedContext context)
        {
        }

        public void OnActionExecuting(ActionExecutingContext context)
        {
            var allparameters = context.ActionArguments.Values;
            if (allparameters.Count() == 1)
            {
                var param = allparameters.First();
                if (typeof(IPatientRequest).IsAssignableFrom(param.GetType()))
                {
                    IPatientRequest patientRequestInfo = (IPatientRequest)param;
                    PatientAccessRequest userAccessRequest = new PatientAccessRequest();
                    userAccessRequest.Rights = right;
                    userAccessRequest.MemberID = patientRequestInfo.PatientID;
                    var result = authService.CheckUserPatientAccess(userAccessRequest).Result; //this calls DB service to check from DB
                    if (result.Status == ReturnType.Failure)
                    {
                        //TODO: return apirepsonse
                        context.Result = new StatusCodeResult((int)System.Net.HttpStatusCode.Forbidden);
                    }
                }
                else
                {
                    throw new AppSystemException("PatientAuthorizeAttribute not supported");
                }
            }
            else
            {
                throw new AppSystemException("PatientAuthorizeAttribute not supported");
            }
        }
    }
}

এবং এপিআই অ্যাকশনে আমরা এটি এর মতো ব্যবহার করি:

    [PatientAuthorize(PatientAccessRights.PATIENT_VIEW_APPOINTMENTS)] //this is enum, we can pass multiple
    [HttpPost]
    public SomeReturnType ViewAppointments()
    {

    }

গৃহীত উত্তর ( https://stackoverflow.com/a/41348219/4974715 ) বাস্তবসম্মতভাবে রক্ষণাবেক্ষণযোগ্য বা উপযুক্ত নয় কারণ "CanReadResource" দাবী হিসাবে ব্যবহৃত হচ্ছে (তবে মূলত বাস্তবে নীতি হওয়া উচিত, আইএমও)। উত্তরের ব্যবহারটি যেভাবে ব্যবহৃত হয়েছিল ঠিক তেমন নয়, কারণ যদি কোনও ক্রিয়া পদ্ধতিতে বিভিন্ন দাবি দাবি করা হয়, তবে সেই উত্তর দিয়ে আপনাকে বারবার এমন কিছু লিখতে হবে ...

[ClaimRequirement(MyClaimTypes.Permission, "CanReadResource")] 
[ClaimRequirement(MyClaimTypes.AnotherPermision, "AnotherClaimVaue")]
//and etc. on a single action.

সুতরাং, কত কোডিং লাগবে তা কল্পনা করুন। আদর্শভাবে, "CanReadResource" হ'ল এমন নীতি বলে মনে করা হচ্ছে যা কোনও ব্যবহারকারী কোনও সংস্থান পড়তে পারে কিনা তা নির্ধারণ করতে অনেক দাবি ব্যবহার করে।

আমি যা করি তা হ'ল আমি একটি গণনা হিসাবে আমার নীতিগুলি তৈরি করি এবং তারপরে লুপটি তৈরি করি এবং প্রয়োজনীয়তাগুলি এভাবে সেটআপ করি ...

services.AddAuthorization(authorizationOptions =>
        {
            foreach (var policyString in Enum.GetNames(typeof(Enumerations.Security.Policy)))
            {
                authorizationOptions.AddPolicy(
                    policyString,
                    authorizationPolicyBuilder => authorizationPolicyBuilder.Requirements.Add(new DefaultAuthorizationRequirement((Enumerations.Security.Policy)Enum.Parse(typeof(Enumerations.Security.Policy), policyWrtString), DateTime.UtcNow)));

      /* Note that thisn does not stop you from 
          configuring policies directly against a username, claims, roles, etc. You can do the usual.
     */
            }
        }); 

ডিফল্ট অনুমোদনের প্রয়োজনীয়তা বর্গটি দেখে মনে হচ্ছে ...

public class DefaultAuthorizationRequirement : IAuthorizationRequirement
{
    public Enumerations.Security.Policy Policy {get; set;} //This is a mere enumeration whose code is not shown.
    public DateTime DateTimeOfSetup {get; set;} //Just in case you have to know when the app started up. And you may want to log out a user if their profile was modified after this date-time, etc.
}

public class DefaultAuthorizationHandler : AuthorizationHandler<DefaultAuthorizationRequirement>
{
    private IAServiceToUse _aServiceToUse;

    public DefaultAuthorizationHandler(
        IAServiceToUse aServiceToUse
        )
    {
        _aServiceToUse = aServiceToUse;
    }

    protected async override Task HandleRequirementAsync(AuthorizationHandlerContext context, DefaultAuthorizationRequirement requirement)
    {
        /*Here, you can quickly check a data source or Web API or etc. 
           to know the latest date-time of the user's profile modification...
        */
        if (_aServiceToUse.GetDateTimeOfLatestUserProfileModication > requirement.DateTimeOfSetup)
        {
            context.Fail(); /*Because any modifications to user information, 
            e.g. if the user used another browser or if by Admin modification, 
            the claims of the user in this session cannot be guaranteed to be reliable.
            */
            return;
        }

        bool shouldSucceed = false; //This should first be false, because context.Succeed(...) has to only be called if the requirement specifically succeeds.

        bool shouldFail = false; /*This should first be false, because context.Fail() 
        doesn't have to be called if there's no security breach.
        */

        // You can do anything.
        await doAnythingAsync();

       /*You can get the user's claims... 
          ALSO, note that if you have a way to priorly map users or users with certain claims 
          to particular policies, add those policies as claims of the user for the sake of ease. 
          BUT policies that require dynamic code (e.g. checking for age range) would have to be 
          coded in the switch-case below to determine stuff.
       */

        var claims = context.User.Claims;

        // You can, of course, get the policy that was hit...
        var policy = requirement.Policy

        //You can use a switch case to determine what policy to deal with here...
        switch (policy)
        {
            case Enumerations.Security.Policy.CanReadResource:
                 /*Do stuff with the claims and change the 
                     value of shouldSucceed and/or shouldFail.
                */
                 break;
            case Enumerations.Security.Policy.AnotherPolicy:
                 /*Do stuff with the claims and change the 
                    value of shouldSucceed and/or shouldFail.
                 */
                 break;
                // Other policies too.

            default:
                 throw new NotImplementedException();
        }

        /* Note that the following conditions are 
            so because failure and success in a requirement handler 
            are not mutually exclusive. They demand certainty.
        */

        if (shouldFail)
        {
            context.Fail(); /*Check the docs on this method to 
            see its implications.
            */
        }                

        if (shouldSucceed)
        {
            context.Succeed(requirement); 
        } 
     }
}

নোট করুন যে উপরের কোডটি আপনার ডেটা স্টোরের কোনও নীতিতে কোনও ব্যবহারকারীর প্রাক-ম্যাপিং সক্ষম করতে পারে। সুতরাং, ব্যবহারকারীর জন্য দাবি রচনা করার সময় আপনি মূলত নীতিগুলি প্রত্যক্ষ করেন যা ব্যবহারকারীর কাছে প্রত্যক্ষ বা অপ্রত্যক্ষভাবে প্রাক ম্যাপ করা হয়েছিল (উদাহরণস্বরূপ যে ব্যবহারকারীর একটি নির্দিষ্ট দাবি মান রয়েছে এবং সেই দাবির মানটি চিহ্নিত করা হয়েছিল এবং কোনও নীতিমালাতে ম্যাপ করা হয়েছিল, যেমন যে এটির সেই দাবির মূল্য রয়েছে এমন ব্যবহারকারীদের জন্য স্বয়ংক্রিয় ম্যাপিং সরবরাহ করে) এবং নীতিগুলি দাবি হিসাবে তালিকাভুক্ত করে, যেমন অনুমোদনের হাতলকারীর মধ্যে, আপনি কেবল ব্যবহারকারীদের দাবির মধ্যে প্রয়োজনীয়তা রয়েছে কিনা তা খতিয়ে দেখতে পারেন their দাবির কোনও আইটেমের মূল্য হিসাবে নীতি দাবি। এটি কোনও পলিসি প্রয়োজনীয়তা সন্তুষ্ট করার স্থিতিশীল উপায়ের জন্য, যেমন "প্রথম নাম" প্রয়োজনীয়তা প্রকৃতির বেশ স্থিতিশীল। সুতরাং,

[Authorize(Policy = nameof(Enumerations.Security.Policy.ViewRecord))] 

একটি গতিশীল প্রয়োজনীয়তা বয়সসীমা ইত্যাদি যাচাই করা সম্পর্কে হতে পারে এবং যে নীতিগুলি এই জাতীয় প্রয়োজনীয়তা ব্যবহার করে তা ব্যবহারকারীদের কাছে প্রি ম্যাপ করা যায় না।

গতিশীল নীতি দাবী পরীক্ষার উদাহরণ (যেমন কোনও ব্যবহারকারী 18 বছরের বেশি বয়সী কিনা তা যাচাই করা) ইতিমধ্যে @ ব্লোয়ার্ডের দেওয়া উত্তরটিতে রয়েছে ( https://stackoverflow.com/a/31465227/4974715 ) এর ।

PS: আমি আমার ফোনে এটি টাইপ করেছি। কোনও টাইপস এবং বিন্যাসের অভাবকে ক্ষমা করুন।