web-dev-qa-db-fra.com

Une façon d'utiliser les règles d'autorisation dans une vue dans .NET Core 1.0 MVC?

Je sais que dans les contrôleurs, vous pouvez écrire [Authorize("policyName")] sans problème, mais existe-t-il un moyen d'utiliser une stratégie dans une vue? Je préfère ne pas utiliser User.IsInRole(...) à chaque fois que je veux autoriser du HTML.

Modifier:

Voici du code

Startup.cs - Déclaration de politique 

    services.AddAuthorization(options =>
    {
        options.AddPolicy("testPolicy", policy =>
        {
            policy.RequireAuthenticatedUser()
                  .RequireRole("RoleOne", "RoleTwo", "RoleThree")
                  .RequireClaim(ClaimTypes.Email);
        });
    });

Contrôleur d'administration 

[Authorize("testPolicy")]
public class AdminController : Controller
{
    public IActionResult Index()
    {
        return View();
    }
}

Barre de navigation HTML 

<div class="navbar navbar-inverse navbar-fixed-top">
            <div class="container">
                <div class="navbar-collapse collapse">
                    <ul class="nav navbar-nav">
                        <li><a asp-controller="Home" asp-action="Index">Home</a></li> 

                        <!-- I want to implement my policy here. -->
                        @if (User.IsInRole("..."))
                        {
                            <li><a asp-controller="Admin" asp-action="Index">Admin</a></li>
                        }
                    </ul>
                    @await Html.PartialAsync("_LoginPartial")
                </div>
            </div>
asp.netasp.net-mvcauthorizationasp.net-coreasp.net-core-mvc
16
Daath

J'ai trouvé ce lien qui pourrait être utile: https://docs.asp.net/fr/latest/security/authorization/views.html

Exemples de cette page:

@if (await AuthorizationService.AuthorizeAsync(User, "PolicyName"))
{
    <p>This paragraph is displayed because you fulfilled PolicyName.</p>
}

Dans certains cas, la ressource sera votre modèle d'affichage et vous pourrez appeler AuthorizeAsync exactement de la même manière que vous le feriez lors d'une autorisation basée sur une ressource.

@if (await AuthorizationService.AuthorizeAsync(User, Model, Operations.Edit))
{
    <p><a class="btn btn-default" role="button"
        href="@Url.Action("Edit", "Document", new {id= Model.Id})">Edit</a></p>
}
18
Martin Dawson

J'ai fini par créer un assistant de balise pour masquer de manière conditionnelle l'élément auquel il est associé.

[HtmlTargetElement(Attributes = "policy")]
public class PolicyTagHelper : TagHelper
{
    private readonly IAuthorizationService _authService;
    private readonly ClaimsPrincipal _principal;

    public PolicyTagHelper(IAuthorizationService authService, IHttpContextAccessor httpContextAccessor)
    {
        _authService = authService;
        _principal = httpContextAccessor.HttpContext.User;
    }

    public string Policy { get; set; }

    public override async Task ProcessAsync(TagHelperContext context, TagHelperOutput output)
    {
        // if (!await _authService.AuthorizeAsync(_principal, Policy)) ASP.NET Core 1.x
        if (!(await _authService.AuthorizeAsync(_principal, Policy)).Succeeded)
            output.SuppressOutput();
    }
}

Usage

<li policy="testPolicy"><a asp-controller="Admin" asp-action="Index">Admin</a></li>
12
Chris

C’est l’une des améliorations majeures apportées à ASP Core lorsque vous pouvez injecter l’identité à toutes les pages du fichier de démarrage:

@if (User.IsInRole("Admin"))
{
    <p>
    <a asp-action="Create" asp-controller="MyController">Create New</a>
</p>
}

Dans Startup.cs:

 services.AddIdentity<ApplicationUser, IdentityRole>()

EDIT: Ok J'ai mal lu le message, vous le saviez déjà :) - le laisser de toute façon si quelqu'un peut l'utiliser.

0
Morten_564834