mvc中的用户角色和权限

Question

我有一个mvc应用程序，其中我有不同的角色使用，角色用户具有不同的功能（例如：添加，编辑，删除 - ），并且每个角色中的用户将在这个角色中有这个功能的子集。我想授予每个用户根据此权限查看页面的权限。

什么是最好的方式来实现这个在MVC？

谢谢

Answer 1

在我们的应用程序中，我们有角色，每个角色都有很多功能。我们的目标是在功能级别上控制访问，而不是角色级别，尽可能减少对数据库的访问。

这里是我们做什么：

1）在登录时，我们创建一个包含用户可以访问所有功能的UserCredentials对象（基于其角色）。它是包含在用户可以访问的所有角色中的“独特”功能。然后我们将这个UserCredentials存储在会话中。

2）限制访问控制器或动作，我们已经实现了继承AuthorizeAttribute一个属性，我们使用这样的：

[Secure(Functionalities="Xyz.View,Xyz.Save")] 
public ActionResult SomeAction(...){ ... } 

注意，没有数据库调用，我们要做的是检查“ Xyz.View“位于存储在UserCredentials中的功能列表中。

3）有时我们需要从操作内部访问证书，所以我们已经创建了另一个ActionFilter（全局），例如，如果他找到名为“credentials”的参数，将为操作参数注入凭证：

public ActionResult SomeAction(UserCredentials credentials, int otherParameters) 
{ 
    // "credentials" is populated by the global action filter 
} 

您可以使用它显示基于用户角色或功能的不同视图。

4）另一种情况是，我们需要根据用户角色或功能隐藏部分视图。为此，我们创建了一个具有UserCredentials属性的BaseViewModel。该属性也由另一个全局ActionFilter填充，该ActionFilter在该动作执行后运行。如果模型继承BaseViewModel，则过滤器将填充UserCredentials属性。我们可以这样做：

@if(Model.UserCredentials.IsInRole("X")){ 
    <div>Some content</div> 
} 

或

@if(Model.UserCredentials.HasAccessTo("Xyz.Save")){ 
    <button>Save</button> 
} 

我希望它能帮助。