情况: 我正在为我的公司编写一个服务应用程序,由于固定角色不适合我的情况,我想建立对我的 API 服务的基于 ACL 的访问。模型和数据库端不是我的问题。问题: 我将如何重新部署在身份验证(JWT 和凭证)之后但在我的服务(获取、发布等)之前运行的请求过滤器,该服务确定是否允许用户调用该操作(在这个过滤器中我会检查我的ACL 和返回允许或拒绝)。我不需要交钥匙解决方案,但非常欢迎提出建议!细节:角色和用户在实施时不存在。在我的前端中,我想创建角色和用户(如 Windows 或类似的)并动态分配权限。角色和用户的权利可能会改变。甚至角色也可以删除并由其他人替换。
1 回答
阿波罗的战车
TA贡献1862条经验 获得超6个赞
这听起来像是您只想验证权限,所以如果适合您的用例,我会使用内置[RequiredPermission]或属性。[RequiresAnyPermission]
否则,我的首选方法是使用声明性请求过滤器属性实现任何 ACL ,这也是内置AuthenticateAttribute.cs的实现方式,但带有负数Priority,因此它们将在任何自定义过滤器属性之前执行,默认情况下具有Priority=0.
- 1 回答
- 0 关注
- 93 浏览
添加回答
举报
0/150
提交
取消