iis - 防止 ClaimsTransformation 在每个 HTTP 请求上运行

问题描述

我有一个针对 .NET 5.0 的 Web 应用程序，我正在尝试实现 Windows 身份验证以及一些授权策略。我们有一个来自另一个应用程序的数据库表，其中包含有关用户角色的信息，所以我使用它来为我的用户设置权限。

我创建了一个 ClaimsTransformer 类：

ClaimsTransformer.cs

public class ClaimsTransformer : IClaimsTransformation
{
    // snip constructor which pulls in my DbContext from DI

    public async Task<ClaimsPrincipal> TransformAsync(ClaimsPrincipal principal)
    {
        var id = ((ClaimsIdentity) principal.Identity);
        
        var ci = new ClaimsIdentity(id.Claims, id.AuthenticationType, id.NameClaimType, id.RoleClaimType);

        // snip call to DbContext to get user's role from database

        if (roleId == 1 || roleId == 7)
        {
            ci.AddClaim(new Claim("user-role", "admin"));
        }

        return new ClaimsPrincipal(ci);
    }
}

我有这样的身份验证/授权设置：

启动.cs

public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(IISDefaults.AuthenticationScheme);
    services.AddTransient<IClaimsTransformation, ClaimsTransformer>();

    services.AddAuthorization(options =>
    {
        options.AddPolicy("Admin", policy =>
            policy.RequireClaim("user-role", "admin"));
    });

    // snip rest of method
}

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    // snip unrelated code
    
    app.UseAuthentication();
    app.UseAuthorization();
}

我第一次使用它是在我的_Layout.cshtml：

@if ((await AuthorizationService.AuthorizeAsync(User, "admin").Succeeded)
{
    // Admin nav link
}

问题是，由于AuthorizeAsync在每个 HTTP 请求上运行，我的 ClaimsTransformer 也每次都运行，访问数据库以检查用户在每个请求上的角色。我想避免这种情况，但我不确定最好的方法。

基本上，我希望系统在用户首次通过身份验证时只检查一次角色。我读到这是将 Windows 身份验证与 IIS 一起使用时应该发生的情况，但我看到角色查询在部署到我的 IIS 服务器时也在每个请求上运行。

我可以轻松地在我的 ClaimsTransformer 中添加一个检查，以查看“用户角色”声明是否存在，如果它不存在，则只点击数据库，但有更好的方法吗？我应该覆盖类似的东西UserClaimsPrincipalFactory而不是使用 ClaimsTransformer 吗？

标签： iis.net-coreasp.net-authorization