你可以简单地做,反过来检查是否存在role1而不是没有role2。或者,您可以开发自己的DenyAttribute,它可以执行您想要的操作并验证用户是否不在指定的角色中。
[HandleError]
[Authorize(Roles = "role1, role2")]
public class AdminController : Controller
{
[Authorize(Roles = "role1")]
public ActionResult ResultPage(string message)
{
ViewData["message"] = message;
return View();
}
}
public class DenyAttribute : AuthorizeAttribute
{
protected override bool AuthorizeCore(HttpContextBase httpContext) {
if (httpContext == null) {
throw new ArgumentNullException("httpContext");
}
IPrincipal user = httpContext.User;
if (!user.Identity.IsAuthenticated) {
return false;
}
if (Users.Length > 0 && Users.Split(',').Any(u => string.Compare(u.Trim(), user.Identity.Name, StringComparer.OrdinalIgnoreCase))) {
return false;
}
if (Roles.Length > 0 && Roles.Split(',').Any(u => user.IsInRole(u.Trim()))) {
return false;
}
return true;
}
}
我真的希望他们让'_usersSplit'和'_rolesSplit'变量受保护而不是私人的。你可以重用它们而不是重新实现分割。 – tvanfosson 2010-04-21 12:02:29