4
如果我想只有管理员才能访问名为“ManagerUser”的动作,我知道我能做到这一点:ASP .NET MVC保护控制器/动作
[Authorize(Roles = Constants.ROLES_ADMINISTRATOR)]
public ActionResult ManageUser(string id)
{
}
如果我想给除了大家访问管理员?我不想在函数中编写所有角色:|。
任何建议/出路?
A
回答
11
您可以创建自己的自定义授权属性,如“AuthorizeAllExceptAdmin”。在这个类中,你只需要检查当前用户是否是管理员,如果他们拒绝它,否则接受它。
这里有一个很好的tutorial,但你可能会喜欢的东西最终会:
public class AuthorizeAllExceptAdmin : AuthorizeAttribute
{
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
return !httpContext.User.IsInRole(Constants.ROLES_ADMINISTRATOR);
}
}
那么你的控制器的方法变为:
[AuthorizeAllExceptAdmin]
public ActionResult SomethingOnlyNonAdminsCanDo()
{
}
下面是需要自定义属性的示例角色否认。
public class DoNotAuthorize : AuthorizeAttribute
{
private IEnumerable<string> _rolesToReject;
public DoNotAuthorize(IEnumerable<string> rolesToReject)
{
_rolesToReject = rolesToReject;
}
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
foreach (var role in _rolesToReject)
{
if (httpContext.User.IsInRole(role))
return false;
}
return true;
}
}
那么你的控制器的方法变为:
[DoNotAuthorize(new [] {Constants.ROLES_ADMINISTRATOR})]
public ActionResult SomethingOnlyNonAdminsCanDo()
{
}
我会考虑一些问题,它选择上述选项之一之前。如果您认为您将拥有多个具有类似授权要求的方法(或者整个控制器)(即管理员无法执行的多个操作),那么我会坚持使用非参数化的自定义属性。这样,您可以稍后一起演变它们(仅更改自定义属性)。例如,也许稍后您希望管理员能够进入特殊模式,在这些模式下他们可以执行这些操作。或者,如果行动中的自动化程度更加不同,那么使用参数化列表是有意义的,因为它们将相对独立地进化。
5
除了创建自定义AuthorizeAttribute,马努建议,你可以使用的PrincipalPermission,有Deny-SecurityAction:
[PrincipalPermission(SecurityAction.Deny, Role="Administrator")]
1
在我的应用程序,所以我要查询数据库,以确定我不使用角色用户是否有权访问。以下代码的好处是您可以非常轻松地将用户重定向到某个操作。我在我的博客文章在http://blog.athe.la/2009/12/implementing-permission-via-windows-authentication-in-asp-mvc-using-action-filters/解释代码
public class DatabaseRepository()
{
private readonly DatabaseDataContext db = new DatabaseDataContext();
public bool UserHasPermission(string userLogon) {
return (from permission this.db.Permissions
where permission.HasPermissionSw == true
select permission).Contains(userLogon);
}
}
public class UserHasPermission: ActionFilterAttribute
{
private readonly DatabaseRepository databaseRepository = new DatabaseRepository();
private readonly string redirectAction;
public UserHasPermission(string redirectTo)
{
this.redirectAction = redirectTo;
}
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
string userLogon = filterContext.HttpContext.User.Identity.Name;
if (!this.databaseRepository.UserHasPermission(userLogon))
{
string routeController = filterContext.Controller.ControllerContext.RouteData.Values["controller"];
filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary(new { controller = routeController, action = this.redirectAction }));
}
}
}
你的控制器,然后会是这个样子:
[UserHasPermission("NoAccess")]
public ActionResult SecretArea()
{
// run all the logic
return View();
}
public ActionResult NoAccess()
{
return View();
}
相关问题
- 1. ASP .Net MVC 3:单元测试控制器动作
- 2. ASP .NET MVC保护所有资源
- 3. Typo3 - 用htaccess保护控制器动作
- 4. 在ASP.NET MVC中保护控制器动作
- 5. ASP .Net MVC路由无控制器和操作名称
- 6. .NET MVC-调用控制器来自另一个控制器动作的动作
- 7. AJAX + ASP MVC Ambigous控制器
- 8. .ASP MVC中,控制器
- 9. 保护返回JSON的ASP.NET MVC控制器操作
- 10. MVC,控制器的动作
- 11. ASP VB .NET传递参数到控制器动作
- 12. .NET复制保护
- 13. ASP MVC 3控制器动作不接收所有的参数
- 14. 错误的Ajax请求的动作控制器ASP MVC
- 15. ASP MVC控制器动作可以接收一个字节[]吗?
- 16. Server.Execute - 从MVC控制器动作呈现.ASP
- 17. ASP MVC http.post调用行动控制器角度不工作
- 18. XSRF保护GET .net mvc
- 19. .NET MVC控制器异常
- 20. ASP-动作不呼叫控制器
- 21. ASP .NET MVC 3 - 将参数从视图传递到控制器
- 22. 在asp-net MVC控制器上接收JSON对象
- 23. ASP> NET MVC 3控制器并发模型
- 24. 使用角色的简单ASP .NET MVC API控制器
- 25. ASP .NET MVC - 如何从控制器发送html来查看
- 26. 在控制器的ASP NET MVC阵列到客户端阵列
- 27. ASP/NET MVC:测试控制器与会话?惩戒?
- 28. ASP .net MVC创建控制器之前的预处理请求
- 29. 如何在ASP Net Core中保护URL
- 30. 手动ASP访问控制.Net
任何意见;我怎么能传递多个参数到自定义属性?像[DoNotAuthorize(role ='A',role ='B')]? – effkay 2010-02-19 17:29:23
@effkay是的,你只需在构造函数中包含那些用于定制属性的元素。我将在上面添加一个示例。 – manu08 2010-02-19 17:44:36
不错的例子。使用IEnumerable,类似于我先前提出的IList。这样你就可以拥有尽可能多的拒绝角色。 – 2010-02-20 16:52:38