ASP.NET Core 中的授权策略如何自定义？

在 ASP.NET Core 中，自定义授权策略是通过组合策略名称、要求（Requirements）、处理程序（Handlers）和策略注册来实现的。你可以根据业务逻辑灵活控制访问权限，比如基于用户角色、声明、资源状态等条件进行判断。

定义自定义授权要求

授权要求是一个继承自 IAuthorizationRequirement 的类，用于表示某种权限条件。

{
    public int Age { get; }
    public MinimumAgeRequirement(int age)
    {
        Age = age;
    }
}

编写要求处理程序

处理程序负责验证用户是否满足指定的要求。它需要实现 AuthorizationHandler，其中 T 是你的要求类型。

{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context,
        MinimumAgeRequirement requirement)
    {
        // 检查用户是否有出生日期声明
        if (context.User.HasClaim(c => c.Type == ClaimTypes.DateOfBirth))
        {
            var birthDate = DateTime.Parse(context.User.FindFirst(ClaimTypes.DateOfBirth).Value);
            int age = DateTime.Today.Year - birthDate.Year;
            if (birthDate > DateTime.Today.AddYears(-age)) age--;

        <br>            if (age >= requirement.Age)
        <br>            {
            <br>                context.Succeed(requirement); // 满足条件
            <br>            }
        <br>        }
    <br>        return Task.CompletedTask;
    <br>    }
<br>}

注册策略和服务

在 Program.cs 或启动配置中注册授权服务，并添加自定义策略。

{
    options.AddPolicy("AtLeast18", policy =>
        policy.Requirements.Add(new MinimumAgeRequirement(18)));
});

builder.Services.AddScoped();

在控制器中使用自定义策略

通过 [Authorize(Policy = "AtLeast18")] 应用策略。

public IActionResult AdultContent()
{
    return View();
}

基本上就这些。你还可以创建更复杂的策略，比如结合多个要求、基于资源的授权（Resource-based Authorization），或动态生成策略。关键是理解“要求 + 处理程序 + 策略名”这一模型。只要注册正确，ASP.NET Core 会自动调用对应的处理逻辑。不复杂但容易忽略细节，比如服务注册顺序或声明格式。