在ASP.NET核心MVC中，安全始终是一项关键任务。在Web应用程序中，访问控制是实现安全的最基本方法之一。ASP.NET核心MVC有一项很强大且易于使用的功能，即使用自定义特性（Attribute）来保护Web应用程序的访问控制。

其中，AuthorizeAttribute是其中一个最基本和最重要的特性之一。在本文中，我们将从以下几个方面来介绍和。

1. 什么是AuthorizeAttribute自定义特性？

AuthorizeAttribute特性是ASP.NET核心MVC提供的一种基于特性的身份验证方法。通过使用AuthorizeAttribute特性，可以轻松地为Action方法或控制器配置访问控制权限，以验证用户谁有权访问特定操作。

2. 如何在ASP.NET核心MVC应用程序中使用AuthorizeAttribute自定义特性？

使用AuthorizeAttribute非常简单，只需将Attribute添加到MVC控制器上或Action方法上。

为此，您可以将[Authorize] Attributed添加到控制器类上，这将只对整个控制器中的所有操作设置授权要求。

```

[Authorize]

public class HomeController : Controller

public IActionResult Index()

return View();

public IActionResult About()

ViewData["Message"] = "Your application description page.";

return View();

public IActionResult Contact()

ViewData["Message"] = "Your contact page.";

return View();

```

或者，您可以将AuthorizeAttribute添加到Action方法上，以单独为每个Action设置授权要求。

```

public class HomeController : Controller

[Authorize]

public IActionResult Index()

return View();

[Authorize(Roles = "Admin")]

public IActionResult About()

ViewData["Message"] = "Your application description page.";

return View();

public IActionResult Contact()

ViewData["Message"] = "Your contact page.";

return View();

```

在这里，我们可以看到如何使用AuthorizeAttribute的两个最基本的用法：

• 不带参数的[Authorize]：此将简单地检查用户是否已通过身份验证，而不进行任何角色或策略检查。

• 使用参数的[Authorize(Roles="…")]：此将检查用户是否已通过身份验证，并检查他们是否属于指定的角色。你甚至可以针对不同的角色设置不同的规则。

更多的AuthorizeAttribute选项可以用于复杂的安全要求。

3. 如何使用AuthorizeAttribute特性实施安全访问控制？

为了实现安全访问控制，我们可以使用AuthorizeAttribute特性来保护控制器和操作。下面是常用参数：

• Roles：此属性用于检查用户是否属于指定的角色。

• Policy：此属性用于检查用户是否满足指定的策略。

• AuthenticationSchemes：这是用于指定身份验证方案（如cookie，JWT等）的属性。

使用AuthorizeAttribute时，您可以选择任何一种属性来定义授权规则。您可以使用它来实现以下几种访问控制策略。

a. 基于角色的访问控制

角色是定义为一组用户，这些用户具有相同的权限和访问权限。可以使用Authorize属性的Roles属性来实现基于角色的授权。

```

[Authorize(Roles = "Admin")]

public class AdminController : Controller

public IActionResult Index()

return View();

public IActionResult Display()

return View();

```

在这里，Admin控制器的授权要求是它的所有操作都要求用户是Admin角色的成员。

b. 基于策略的访问控制

策略是定义为一组规则，定义哪些用户可以对应的资源进行访问。可以使用Authorize属性的Policy属性来实现基于策略的授权。

```

[Authorize(Policy = "AdminOnly")]

public class AdminController : Controller

public IActionResult Index()

return View();

public IActionResult Display()

return View();

```

在这里，Admin控制器的授权要求是它的所有操作都要求用户满足名为“AdminOnly”的策略，该策略可以在Startup.cs文件中定义。

c. 基于身份验证方案的访问控制

ASP.NET核心MVC支持多种身份验证方案（例如Cookie、JWT、OAuth、OpenID Connect等）。可以使用Authorize属性的AuthenticationSchemes属性来实现基于身份验证方案的授权。

```

[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]

public class SecureController : Controller

public IActionResult Index()

return View();

public IActionResult Display()

return View();

```

在这里，Secure控制器的授权要求是它的所有操作都要求用户使用JwtBearer身份验证方案进行身份验证。

4. 如何使用AuthorizeAttribute特性保护API路由？

可以使用AuthorizeAttribute特性来保护API路由，以限制谁有权访问API的操作和数据。在ASP.NET核心中，可以使用AuthorizeAttribute特性来保护API操作，就像保护MVC控制器和操作一样。

```

[Authorize]

[ApiController]

[Route("[controller]")]

public class WeatherForecastController : ControllerBase

private static readonly string[] Summaries = new[]

"Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"

};