如何在授权后替换ASP.NET Core中的HttpContext.User？

Question

我有一个自定义用户类MyPrincipal与一些自定义属性，我想用它替换验证的ClaimsPrincipal，例如， HttpContext.User

我添加了一个自定义的中间件：

public class MyMiddleware { 
    private readonly RequestDelegate next; 

    public MyMiddleware(RequestDelegate next) { 
    this.next = next; 
    } 

    public async Task Invoke(HttpContext context) { 
    if (context.User.IsAuthenticated) { 
     context.User = new MyPrincipal(context.User); 
    } 
    await next(context); 
    } 
} 

我已经注册了中间件认证之后运行，但MVC中Startup.cs前：

public void Configure(IApplicationBuilder app) { 
    app.UseAuthentication(); 
    app.UseMiddleware<MyMiddleware()>; 
    app.UseMvcWithDefaultRoute(); 
} 

在我_Layout.cshtml我想用一个我的定制属性MyPrincipal：

... 
@if (User is MyPrincipal) { 
    <do stuff> 
} 
... 

到目前为止，用户被确认为MyPrincipal。

但是当我添加一个全局的授权策略：

public void ConfigureServices(IServiceCollection services) { 
    services.AddMvc(options => { 
    var policy = new AuthorizationPolicyBuilder(CookieAuthenticationDefaults.AuthenticationScheme) 
     .RequireAuthenticatedUser() 
     .Build(); 
    options.Filters.Add(new AuthorizeFilter(policy)); 
    }); 
} 

突然，_Layout的User只是一个ClaimsPrincipal。

我该如何阻止MVC取代我的委托人，或在授权策略完成后挂钩到管道中？

P.S.我使用的是ASP.NET Core 2.0 Preview 2，以防万一。

Answer 1

PolicyEvaluator正在验证AuthenticationScheme，它取代了Principal。要解决此问题，请从AuthorizationPolicyBuilder构造函数中删除AuthenticationScheme参数。

var policy = new AuthorizationPolicyBuilder() 
    .RequireAuthenticatedUser() 
    .Build(); 

这将政策适用于所有身份验证方案，并假定你已经调用HttpContext.Authentication.SignInAsync别处。