ASP.NET Core 6角色授权如何为？

ASP.NET应用并没有对如何定义授权策略做硬性规定，所以我们完全根据用户具有的任意特性（如性别、年龄、学历、所在地区、宗教信仰、政治面貌等）来判断其是否具有获取目标资源或者执行目标操作的权限，但是针对角色的授权策略依然是最常用的。角色（或者用户组）实际上就是对一组权限集的描述，将一个用户添加到某个角色之中就是为了将对应的权限赋予该用户。在《使用最简洁的代码实现登录、认证和注销》中，我们提供了一个用来演示登录、认证和注销的程序，现在我们在此基础上添加基于“角色授权的部分”。（本文提供的示例演示已经同步到《ASP.NET Core 6框架揭秘-实例演示版》） [S2801]基于“要求”的授权 [S2802]基于“策略”的授权 [S2803]将“角色”绑定到路由终结点 [S2804]将“授权策略”绑定到路由终结点 [S2801]基于“要求”的授权我们提供的演示实例提供了IAccountService和IPageRenderer两个服务，前者用用来进行校验密钥，后者用来呈现主页和登录页面。为了在认证的时候一并将用户拥有的角色提取出来，我们按照如下的方式为IAccountService接口的Validate方法添加了表示角色列表的输出参数。对于实现类AccountService提供的三个账号来说，只有“Bar”拥有一个名为“Admin”的角色。 public interface IAccountService { bool Validate(string userName, string password, out string[] roles); } public class AccountService : IAccountService { private readonly Dictionary<string, string> _accounts = new(StringComparer.OrdinalIgnoreCase) { { "Foo", "password" }, { "Bar", "password" }, { "Baz", "password" } }; private readonly Dictionary<string, string[]> _roles = new(StringComparer.OrdinalIgnoreCase) { { "Bar", new string[]{"Admin" } } }; public bool Validate(string userName, string password, out string[] roles) { if (_accounts.TryGetValue(userName, out var pwd) && pwd == password) { roles = _roles.TryGetValue(userName, out var value) ? value : Array.Empty<string>(); return true; } roles = Array.Empty<string>(); return false; } } 我们假设演示的应用是供拥有“Admin”角色的管理人员使用的，所以只能拥有该角色的用户才能访问应用的主页，未授权访问会自动定向到我们提供的“访问拒绝”页面。我们在另一个IPageRenderer服务接口中添加了如下这个RenderAccessDeniedPage方法，并在PageRenderer类型中完成了对应的实现。