Как проверить соответствие политике авторизации на стороне предстваления?

Question

[Роман Кофф]

В приложении ASP.NET CORE определены политики доступа на основе Claims:

builder.Services.AddAuthorization(o =>
{
	o.AddPolicy("APP1", x => x.RequireClaim("ROLE_APP1"));
	o.AddPolicy("APP1_ADMINS", x => x.RequireClaim("ROLE_APP1", "admin"));
	o.AddPolicy("APP1_USERS", x => x.RequireClaim("ROLE_APP1", "user"));
});

Соответственно на контроллере я могу использовать атрибуты для ограничения доступа:

[Authorize(Policy = "APP1_ADMINS")]
public IActionResult Index()
{
	return View();
}

Есть ли возможность использовать эти же политики авторизации непосредственно в представлении или в просто в коде метода (не на уровне атрибутов)?
Например, я хочу формировать навигацию персонализированную согласно правам доступа текущего пользователя... Как выполнить проверку в коде?

<ul class="nav">
	<li><a href="~/">Home</a></li>
	@if(User...) {
		<li><a href="~/edit">Edit</a></li>
	}
</ul>

Comments

[forced]

вам нужно в модель опрокидывать при возврате из контроллера

допустим

public class XViewModel : IAuthenticatedModel {
public Role[] Roles { get; set; } 
public Guid UserId { get; set; }

...
}

а в контроллере

[Authorize(Policy = "APP1_ADMINS")]
public IActionResult Index()
{
var userId = HttpContext.User.Claims.First(x => ...); 
var userRoles = HttpContext.User.Claims.Where(x => ...).ToList();

var model = new XViewModel {  };
  return View(model);
}

Допускается использование Context непосредственно в razor-view, но крайне не рекомендуется. По причине проблем с безопасностью и нарушением конкурентного доступа.

[forced]

https://learn.microsoft.com/ru-ru/aspnet/core/fund...

[Роман Кофф]

forced, не.
Возможно я не очень правильно вопрос сформулировал. Мне была нужна именно проверка политик, а не просто клеймов. И чтобы проверку можно было проводить из любого места кода, а не только на уровне методов контроллеров.

Нашел решение, правда не могу пока понять, насколько оно оптимально:

@using Microsoft.AspNetCore.Authorization;
@inject IAuthorizationService auth
...
@if (auth.AuthorizeAsync(User, "APP1_ADMINS").Result.Succeeded)
{
	<li><a href="~/control">Управление</a></li>
}

[forced]

Роман Кофф, да... понял.

по razor у точно не смогу сказать, но проверять политики на фронте - дело такое... собственно, что в этих политиках такое, чего не может быть в claimsах? просто без доступа к определенной политике нельзя обратиться к контроллеру и соответственно вьюха не отдастся.

[Роман Кофф]

forced, ну Razor это не прямо совсем фронт, все таки.

А это решение будет работать в любом коде, даже в миддлваре (что, собственно, мне и нужно было). Главное подцепить IAuthorizationService, а дальше можно оперировать через политики. Политики, все же, более абстрактная и гибкая техника, чем прямо клеймы прибивать в коде.