1. 首页
  2. 问答
  3. asp.net MVC 3将AuthorizeAttribute应用到区域

asp.net MVC 3将AuthorizeAttribute应用到区域

2011-05-16 46 views
6

我目前正在编写一个Admin MVC 3站点,并且每个用户只能访问站点的某些部分。asp.net MVC 3将AuthorizeAttribute应用到区域

我的网站的区域与用户角色相同,所以我想要做的是将AuthorizeAttribute放置在每个区域上,并使用该区域的名称作为角色中的参数。

到目前为止,当我对每个区域的检查进行硬编码时,我已经得到了这个工作,但我想循环遍历所有区域并应用Authorize过滤器。 (我用这个作为我的自定义FilterProvider - http://www.dotnetcurry.com/ShowArticle.aspx?ID=578

到目前为止我的代码(“GCM”是我的领域之一,也是一个角色):

public static void RegisterGlobalFilters(GlobalFilterCollection filters) 
{ 
    filters.Add(new HandleErrorAttribute()); 
    // for all controllers, run AdminAuthorizeAttribute to make sure they're at least logged in 
    filters.Add(ObjectFactory.GetInstance<AdminAuthorizeAttribute>()); 

    AdminAuthorizeAttribute gcmAuthroizeAttribute = ObjectFactory.GetInstance<AdminAuthorizeAttribute>(); 
    gcmAuthroizeAttribute.Roles = "Gcm"; 

    var provider = new FilterProvider(); 
    provider.Add(
     x => 
     x.RouteData.DataTokens["area"] != null && x.RouteData.DataTokens["area"].ToString() == "Gcm" 
      ? gcmAuthroizeAttribute 
      : null); 
    FilterProviders.Providers.Add(provider); 
}

有谁知道以获得我的应用程序的所有领域,所以我可以循环遍历它们,而不是对每个区域进行硬编码?

或者如果任何人有更好的想法如何授权每个区域,这将不胜感激。

感谢您的帮助 Saan

来源

2011-05-16 Saan

回答

-1

当我正在调查一个单独的问题,我碰到How to pass parameters to a custom ActionFilter in ASP.NET MVC 2?

该属性例如可以改变检查电流控制的区域。

public class CustomAuthorizeAttribute : AuthorizeAttribute 
{ 
    public override void OnAuthorization(AuthorizationContext filterContext) 
    { 
     RouteData routeData = filterContext.RouteData; 

     // check if user is allowed on this page 
     if (SessionFactory.GetSession().Contains(SessionKey.User)) 
     { 
      User user = (User)SessionFactory.GetSession().Get(SessionKey.User); 
      string thisArea = routeData.DataTokens["area"].ToString(); 

      // if the user doesn't have access to this area 
      if (!user.IsInRole(thisArea)) 
      { 
       HandleUnauthorizedRequest(filterContext); 
      } 
     } 

     // do normal OnAuthorization checks too 
     base.OnAuthorization(filterContext); 
    } 
}

我然后我的自定义授权属性应用到在Global.asax中这样所有的控制器:

public static void RegisterGlobalFilters(GlobalFilterCollection filters) 
{ 
    filters.Add(new HandleErrorAttribute()); 
    // for all controllers, run CustomAuthorizeAttribute to make sure they're at logged in and have access to area 
    filters.Add(ObjectFactory.GetInstance<CustomAuthorizeAttribute>()); 
}

感谢所有谁回答

Saan

来源

2011-09-14 12:33:57 Saan

+1

**警告:这不是安全的做法。**我一直在看这个相同的区域,发现这不是一个明智的做法。区域是一个路由概念,但是即使未指定区域,控制器也可以被发现并被拾取**。 [Levi在这里解释](http://stackoverflow.com/questions/2319157/how-can-we-set-authorization-for-a-whole-area-in-asp-net-mvc/2320419#2320419) – Quango 2013-01-25 08:18:31

0

这是一个授权的实例属性来覆盖我已经建立。我需要我的授权功能来支持会员轮船的类型,因此您可能不想过度使用这些功能的内部工作,但是AuthorizeCore是主逻辑发生的地方。在我的情况下,我正在对照实体datacontext进行检查。

用法:

[AjaxAuthorize(AjaxRole = "Administrators")] 
public JsonResult SaveAdministrativeUser(v....)

代码:

public class AjaxAuthorizeAttribute : AuthorizeAttribute 
    { 
     private class HttpAuthorizeFailedResult : ActionResult 
     { 
      public override void ExecuteResult(ControllerContext context) 
      {     
       // Set the response code to 403. Membership.Provider.Name == "UnitArchiveMembershipProvider" 
       context.HttpContext.Response.StatusCode = context.HttpContext. User.Identity is WindowsIdentity ? 401 : 403; 
      } 
     } 

     public string AjaxRole { get; set;} 

     public AjaxAuthorizeAttribute() 
     { 
      AjaxRole = "Users"; 
     } 

     protected override bool AuthorizeCore(HttpContextBase httpContext) 
     { 
      if (string.IsNullOrEmpty(MvcApplication.Config.DBSettings.Database)) 
      { 
       return true; 
      } 

      //When authorize parameter is set to false, not authorization should be performed. 
      UnitArchiveData db = DataContextFactory.GetWebRequestScopedDataContext<UnitArchiveData>(MvcApplication.Config.DBSettings.GetConnectionString());    


      if (httpContext.User.Identity.IsAuthenticated) 
      { 
       login_data user = db.login_datas.Where(n => n.EmailAddress == httpContext.User.Identity.Name).FirstOrDefault(); 
       if (user != null) 
       { 
        return user.cd_login_role.RoleName == "Administrators" || user.cd_login_role.RoleName == AjaxRole; 
       } 
      } 

      return false; 

     } 

     protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) 
     { 
      if (filterContext.RequestContext.HttpContext.Request.IsAjaxRequest()) 
      { 
       //Ajax request doesn't return to login page, it just returns 403 error. 
       filterContext.Result = new HttpAuthorizeFailedResult(); 
      } 
      else 
       base.HandleUnauthorizedRequest(filterContext); 
     } 
    }

来源

2011-05-16 14:28:05

+0

谢尔盖你好。感谢您的回应 - 但我已经创建了我的自定义授权属性,并且它工作正常。我只需要能够在每个区域传递适当的角色。我不想在每个控制器上放置属性。我正在寻找可以在有人添加新区域时自动设置的内容。 – Saan 2011-05-16 16:33:04

+0

是的,看看我是如何做到这一点。 AjaxRole变量被传递到自定义的AuthorizeAttribte中。自动可能是一个艰难的,但添加一个[AjaxAuthorize(AjaxRole =“管理员”)]功能标题并不难,并解决您的问题。 – 2011-05-16 16:44:25

+0

但它的确意味着任何向该项目添加代码的人(并且有些人将成为第三方开发人员)都需要确保将正确的Authorize属性添加到Controller中。我正在寻找的是一种确保无论使用何种正确授权的方式。 – Saan 2011-05-16 20:23:04

2

你,你可以为每个区域一个基本的控制器,并把授权属性在基类。这样你就可以为每个区域的基础控制器传递区域参数。

来源

2011-06-30 22:10:23 mccow002

相关问题

 相关问题