这一节我们主要介绍在ASP.NET Core Identity中使用策略进行授权，Policy是用户必须具备一组集合为授权访问应用程序上的资源。Identity Policy的授权可以包含对用户的Role和Claim， 这有助于我们在应用程序中构建更丰富的授权结构

例如：我们创建一个名称为MIT的Identity Policy，该Policy包含3个必要条件：“高中成绩为A”，“18岁以下”，“美国国籍”。现在我们将这个策略应用到MIT门户网站的申请区域，只有这些学生才能申请研究生课程：
1. 高中毕业成绩为A
2. 18岁以下
3. 美国国籍
一、创建ASP.NET Core Identity 策略
我们在程序中创建Identity策略：

builder.Services.AddAuthorization(authorizationOptions =>
{
    authorizationOptions.AddPolicy("AspManager", authorizationPolicy =>
    {
        authorizationPolicy.RequireRole("Manager");
        authorizationPolicy.RequireClaim("Coding-Skill", "ASP.NET Core MVC");
    });
});

AspManager策略有两个必要条件：
1.用户角色必须是Manager
2.用户Claim类型是 Coding-Skill，Claim值是ASP.NET Core MVC
二、基于ASP.NET Core Identity 策略授权
我们可以把刚才创建的策略使用到任何的Controller和Action方法上，在应用程序中使用基于策略授权的特性，进入ClaimsController创建一个新的Project方法，将[Authorize(Policy = "AspManager")]特性应用到该方法上，代码如下:

[Authorize(Policy = "AspManager")]
public IActionResult Project() => View("Index", User.Claims);

现在，ASP.NET Core Identity 只授权下面用户访问Project方法：
1.该用户属于Manager角色。
2.该用户有Claim类型Coding-Skill和Claim值为ASP.NET Core MVC
下面是创建Policy比较重要的方法：

名称	描述
RequireUserName(name)	指定特定用户
RequireClaim(type, value)	用户需要有Claim类型和对应的值(值类型Param: params string[] 或者 Param: IEnumerable<string>)
RequireRole(roles)	用户必须是指定角色的成员。参数类型为： Param: params string[] roles 或者 Param: IEnumerable<string> roles
AddRequirements(requirement)	指定一个客户自定义策略

三、测试Identity 策略授权
使用邮件：pintu@yahoo.com 密码：Coder77@1 进行测试，首先确认一下pintu是否属于Manager角色，如果不是，则添加，我们看到pintu属于Manager角色，但是没有Coding-Skill的Claim

现在我们尝试访问一下ClaimsController的Project方法,
https://localhost:7296/Claims/Project. 我们会看到访问拒绝：

因此我们需要给用户pintu添加一个类型是Coding-Skill和值是ASP.NET Core MVC的Claim。我们给pintu创建一个新的Claim ，URL为：https://localhost:7296/Claims/Create (看如下图片)

添加完之后，需要退出并且重新登录一下，我们进入如下URL
https//localhost:7296/Claims 。我们能看见最新添加的Claim

最后访问ClaimsController的Project方法，通过如下URL，https://localhost:7296/Claims/Project，这个时候我们能访问了，显示pintu用户下所有的Claims：


四、自定义Requirement策略授权
我们创建一个自定义策略，只允许Tom用户访问控制器的方法。如下所示：
创建一个类实现IAuthorizationRequirement 接口，它内部提供了一种机制判断是否授权成功或失败
创建一个实现 AuthorizationHandler类的子类，评估授权需求
我们在根目录下创建一个CustomPolicy文件夹，并在该文件夹下创建AllowUserPolicy.cs类。AllowUserPolicy.cs 类代码如下：

public class AllowUserPolicy : IAuthorizationRequirement
{
    public string[] AllowUsers { get; set; }
    public AllowUserPolicy(params string[] allowUsers)
    {
        AllowUsers=allowUsers;
    }
}

AllowUserPolicy类实现了IAuthorizationRequirement 接口并且通过构造函数参数获取到所有允许访问资源的用户，下面我们在CustomPolicy文件夹下创建另外一个类AllowUsersHandler.cs，代码如下：

public class AllowUsersHandler : AuthorizationHandler<AllowUserPolicy>
{
    public override Task HandleAsync(AuthorizationHandlerContext context)
    {
        return base.HandleAsync(context);
    }
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, AllowUserPolicy requirement)
    {
        if (requirement.AllowUsers.Any(user => user.Equals(context.User.Identity?.Name, StringComparison.OrdinalIgnoreCase)))
        {
            context.Succeed(requirement);
        }
        else
        {
            context.Fail();
        }
        return Task.CompletedTask;
    }

AllowUsersHandler授权Handler继承AuthorizationHandler类，当授权系统需要检查访问的Action时，HandleRequirementAsync()方法被调用，这个方法的参数接受AuthorizationHandlerContext 对象和AllowUserPolicy 类，AllowUserPolicy类提供了允许访问资源的用户。AuthorizationHandlerContext类主要成员如下：

名称	描述
Succeed(requirement)	如果请求满足要求，则调用此方法。该方法的参数是AllowUserPolicy对象
Fail()	如果请求不满足要求，则调用该方法
Resource	这个属性返回授权访问资源的一个对象

因此，在HandleRequirementAsync()方法内，我们检查是否当前登录用户是否在允许登录用户的列表内，如果是，我们调用Succeed方法，否则我们调用fail方法。现在我们创建一个Policy，发送一个允许的用户到AllowUserPolicy类我们使用AddRequirements(requirement)方法添加客户自自定义策略，代码如下:

// 堆代码 duidaima.com
builder.Services.AddTransient<IAuthorizationHandler,AllowUsersHandler>();
builder.Services.AddAuthorization(authorizationOptions =>
{
    authorizationOptions.AddPolicy("AspManager", authorizationPolicy =>
    {
        authorizationPolicy.RequireRole("Manager");
        authorizationPolicy.RequireClaim("Coding-Skill", "ASP.NET Core MVC");
    });
    authorizationOptions.AddPolicy("AllowTom", authorizationPolicy => 
    {
        authorizationPolicy.AddRequirements(new AllowUserPolicy("tom"));
    });
});

现在，我们将这个策略应用到Controller的方法上，我们在ClaimsController中添加一个TomFiles方法并在该方法上应用这个[Authorize(Policy = "AllowTom")]特性。看如下代码：

[Authorize(Policy = "AllowTom")]
public IActionResult TomFiles() => View("Index", User.Claims);

这个方法只能被tom的用户给调用。如果别的用户调用这个方法将调转到拒绝页面。使用Tom用户进行测试，输入https://localhost:

7296/Claims/TomFiles

现在，我们使用pintu@yahoo.com进行登录, https://localhost:7296/Claims/TomFiles，将跳转到拒绝页面

五、不使用[Authorize]提交一个Policy
到目前为止我们可以给Control或者Controller的Action上使用[Authorize]策略，但是有些应用场景中我们不想使用[Authorize(Policy = "SomePolicy")]特性提交策略，你可以使用IAuthorizationService 接口来做，我们通过一个例子来了解一下，在CustomPolicy 目录下创建AllowPrivatePolicy.cs的类：

public class AllowPrivatePolicy : IAuthorizationRequirement
{
}
public class AllowPrivateHandler : AuthorizationHandler<AllowPrivatePolicy>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, AllowPrivatePolicy requirement)
    {
        string [] allowUsers = context.Resource as string[];
        if(allowUsers.Any(user=>user.Equals(context.User.Identity?.Name,StringComparison.OrdinalIgnoreCase)))
        {
            context.Succeed(requirement);
        }
        else
        {
            context.Fail();
        }
        return Task.CompletedTask;
    }
}

我们在应用程序的Program类中注册AuthorizationHandler，并创建一个新的策略叫PrivateAccess

builder.Services.AddTransient<IAuthorizationHandler, AllowUsersHandler>();
builder.Services.AddTransient<IAuthorizationHandler,AllowPrivateHandler>();
builder.Services.AddAuthorization(authorizationOptions =>
{
    authorizationOptions.AddPolicy("AspManager", authorizationPolicy =>
    {
        authorizationPolicy.RequireRole("Manager");
        authorizationPolicy.RequireClaim("Coding-Skill", "ASP.NET Core MVC");
    });
    authorizationOptions.AddPolicy("AllowTom", authorizationPolicy =>
    {
        authorizationPolicy.AddRequirements(new AllowUserPolicy("tom"));
    });
    authorizationOptions.AddPolicy("PrivateAccess", authorizationPolicy =>
    {
        authorizationPolicy.AddRequirements(new AllowPrivatePolicy());
    });
});

注意我们没有通过policy.AddRequirements(new AllowPrivate Policy())传递任何参数到AllowPrivatePolicy类，相反我们通过Controller传递数据。最后，在ClaimsController构造函数中添加IAuthorizationService服务。添加一个PrivateAccess方法来验证刚才我们添加的PrivateAccess。我们添加一个新的PrivateAccess方法并且使用authService.AuthorizeAsync 来验证我们刚添加的PrivateAccess策略

代码如下：

public async Task<IActionResult> PrivateAccess()
{
    string[] allowedUsers = { "tom", "alice" };
    var authorized=await _authorizationService.AuthorizeAsync(User,allowedUsers,"PrivateAccess");
    if(authorized.Succeeded)
    {
        return View("Index",User.Claims);
    }
    else
    {
        return new ChallengeResult();
    }
}

这个方法只能有tom和alice这两个用户调用。注意我们给AllowPrivateHandler了的AuthorizeAsync()方法的第二个参数提供了allowUsers的变量。

如下代码:

 var authorized=await _authorizationService.AuthorizeAsync(User,allowedUsers,"PrivateAccess");

AllowPrivateHandler类获取allowedUsers 值通过AuthorizationHandlerContext 类的 Resource 属性，代码如下

string[] allowUsers = context.Resource as string[];

初始化ChallengeResult 会强制除了tom和alice以外的用户调转到登录页面。使用alice用户登录我们可以看到该方法被调用,进入https://localhost:7296/Claims/PrivateAccess

现在我们使用mary账户登录，进入相同的页面，我们发现调转到了登录页面

总结
这节我们主要讲解了关于策略授权