Advertisement

Advertisement

Home / .net Core / .net core Mvc / Asp.net Core / ASP.NET Core Authorization Concept

ASP.NET Core Authorization Concept

, ,

जब किसी मेथड पर [Authorize(Roles = "User")] एट्रिब्यूट लगाया जाता है, तो इसका मतलब यह है कि केवल वही उपयोगकर्ता उस मेथड को एक्सेस कर सकते हैं, जिनके पास User रोल है।

अगर एक उपयोगकर्ता Admin रोल में है और उनके पास User रोल नहीं है, तो वे उस मेथड को एक्सेस नहीं कर सकते।

क्यों?

ASP.NET Core में [Authorize(Roles = "...")] एट्रिब्यूट एक strict check करता है:

  • यह केवल उन उपयोगकर्ताओं को अनुमति देता है जिनके पास explicitly वही रोल है जो एट्रिब्यूट में निर्दिष्ट है।

  • यदि कोई उपयोगकर्ता अन्य रोल (जैसे Admin) में है, लेकिन उस एट्रिब्यूट वाले रोल (जैसे User) में नहीं है, तो उसे AccessDenied का सामना करना पड़ेगा।

क्या "Admin" को हर जगह एक्सेस मिलना चाहिए?

Depends on Your Business Logic (आपके एप्लिकेशन की आवश्यकता पर निर्भर करता है):

  1. Yes, Admin Should Have Access Everywhere:

    • यदि आपकी एप्लिकेशन में "Admin" को हर पेज और फंक्शन तक एक्सेस देना जरूरी है, तो आपको इसकी व्यवस्था करनी होगी।

  2. Solution:

    • UserDashboard पर Admin और User दोनों को एक्सेस की अनुमति दें:


[Authorize(Roles = "Admin,User")]

public IActionResult UserDashboard()

{

    return View();

}

  1. यहां, Admin और User दोनों रोल वाले उपयोगकर्ता UserDashboard को एक्सेस कर सकते हैं।

  1. No, Admin Should Not Have Access to Everything:

    • अगर आप चाहते हैं कि Admin केवल Admin-specific पेज को ही एक्सेस करे और User केवल अपने पेज को एक्सेस करे, तो इसे अलग-अलग रोल के लिए सीमित रखना सही है।

    • इस मामले में, Admin को UserDashboard पेज तक एक्सेस नहीं होगा।

How to Give Admin Access Everywhere (Solution):

Option 1: Use a Custom Policy

एक कस्टम पॉलिसी बना सकते हैं, जो "Admin" को हर जगह एक्सेस की अनुमति देती है।

Configure Custom Policy in Program.cs:


services.AddAuthorization(options =>

{

    options.AddPolicy("AllowAdminEverywhere", policy =>

        policy.RequireAssertion(context =>

            context.User.IsInRole("Admin") || context.User.IsInRole("User")));

});


Apply Policy to the Method:


[Authorize(Policy = "AllowAdminEverywhere")]

public IActionResult UserDashboard()

{

    return View();

}


Option 2: Dynamically Check Roles in Code

आपको Admin और User दोनों रोल चेक करने की आवश्यकता हो सकती है।

Example:


[Authorize]

public IActionResult UserDashboard()

{

    if (User.IsInRole("Admin") || User.IsInRole("User"))

    {

        return View();

    }

    else

    {

        return RedirectToAction("AccessDenied", "Account");

    }

}


Best Practice (सर्वोत्तम तरीका):

  1. Role Hierarchy (रोल हायरार्की बनाएं):

    • Admin को हमेशा "सुपर-रोल" की तरह माना जा सकता है, जिसमें सभी रोल्स की सुविधाएं होती हैं।

    • उदाहरण: Admin के पास Admin, User, और अन्य सभी रोल्स का एक्सेस हो सकता है।

Add Multiple Roles (एकाधिक रोल अनुमति दें):

[Authorize(Roles = "Admin,User")]


  2. Custom Policies का उपयोग करें: कस्टम पॉलिसी अधिक लचीलापन प्रदान करती है।

Conclusion:

  • By Default: Admin को तभी एक्सेस मिलेगा, जब आप उसे User रोल में शामिल करेंगे या मेथड पर Admin रोल की अनुमति देंगे।

  • यदि Admin को हर जगह एक्सेस चाहिए, तो इसे पॉलिसी या कस्टम चेक के माध्यम से प्रबंधित करें।



ASP.NET Core Authorization Concept ASP.NET Core Authorization Concept Reviewed by Rikesh on January 06, 2025 Rating: 5

You May Also Like

No comments:

Subscribe to: Post Comments ( Atom )
Powered by Blogger.