.net 6 Web Api Custom Authorization Filter

INFLUENCESMAG.ORG

4 min read

·

Jun 03, 2024

42

Share

Création d'un Filtre d'Autorisation Personnalisé pour .NET 6 Web API

L'authentification et l'autorisation sont des aspects essentiels de toute application Web sécurisée, et .NET 6 Web API offre une variété d'options pour mettre en œuvre ces fonctionnalités. Parmi celles-ci, les filtres d'autorisation personnalisés permettent de contrôler l'accès aux ressources de manière flexible et spécifique à vos besoins.

Pourquoi utiliser un filtre d'autorisation personnalisé ?

Les filtres d'autorisation personnalisés offrent une grande flexibilité en vous permettant de :

• Définir des règles d'autorisation spécifiques à vos besoins. Au lieu de vous fier aux politiques d'autorisation intégrées, vous pouvez créer des règles d'accès personnalisées basées sur des données spécifiques à votre application.
• Gérer des scénarios d'autorisation complexes. Les filtres personnalisés permettent de gérer des règles d'autorisation qui ne sont pas prises en charge par les politiques d'autorisation intégrées.
• Centraliser la logique d'autorisation. Cela rend le code plus propre et plus facile à maintenir.

Étapes pour créer un filtre d'autorisation personnalisé :

1. Créer une classe de filtre d'autorisation. Définissez une classe qui hérite de AuthorizationFilterAttribute et implémente la méthode OnAuthorization.

   public class CustomAuthorizationFilter : AuthorizationFilterAttribute
   {
       public override void OnAuthorization(AuthorizationFilterContext context)
       {
           // Vérifier si l'utilisateur est autorisé à accéder à la ressource.
           if (!AuthorizeUser(context))
           {
               // Retourner une réponse d'erreur non autorisée.
               context.Result = new UnauthorizedResult();
           }
       }
   
       private bool AuthorizeUser(AuthorizationFilterContext context)
       {
           // Votre logique d'autorisation personnalisée.
           // Par exemple, vérifiez si l'utilisateur est connecté et a les rôles appropriés.
           // Vous pouvez accéder aux informations de l'utilisateur via context.HttpContext.User.
           // Retournez true si l'utilisateur est autorisé, false sinon.
           // ... 
       }
   }
   

2. Appliquer le filtre aux contrôleurs ou aux actions. Vous pouvez utiliser l'attribut [Authorize] pour appliquer le filtre d'autorisation personnalisé à un contrôleur ou une action.

   [Authorize(Policy = "CustomPolicy")]
   public class MyController : ControllerBase
   {
       // Actions du contrôleur...
   }
   

3. Configurer le filtre dans le fichier Startup. Ajoutez le filtre à la collection de filtres dans la méthode ConfigureServices du fichier Startup.

   public void ConfigureServices(IServiceCollection services)
   {
       services.AddControllers(options =>
       {
           options.Filters.Add();
       });
   }
   

Exemple d'utilisation :

Voici un exemple de filtre d'autorisation personnalisé qui vérifie si l'utilisateur est connecté et possède le rôle "Administrateur" :

public class AdminAuthorizationFilter : AuthorizationFilterAttribute
{
    public override void OnAuthorization(AuthorizationFilterContext context)
    {
        if (!context.HttpContext.User.Identity.IsAuthenticated || 
            !context.HttpContext.User.IsInRole("Administrateur"))
        {
            context.Result = new UnauthorizedResult();
        }
    }
}

Conclusion :

Les filtres d'autorisation personnalisés sont un outil puissant pour sécuriser vos API .NET 6 Web API. Ils permettent de contrôler l'accès aux ressources de manière flexible et spécifique à vos besoins. N'hésitez pas à les utiliser pour créer des applications Web robustes et sécurisées.