ASP.NET MVC3中基于权限的授权

Question

我将ASP.NET MVC添加到现有的WebForms应用程序中。目前，我不关心认证/登录，因为这部分是由现有代码（Forms认证）处理的。

在现有的WebForms应用程序中，我们为每个页面提供了完全自定义的基于权限的授权。因此，每个用户都有一组权限，列出他可以访问的页面。
现在我需要决定如何使用相同的权限系统来限制对特定MVC控制器和操作的访问。

据我所知，对于ASP.NET MVC有一个标准的AuthorizeAttribute我可以指定角色。我也发现了一些文章这表明指定的权限，而不是角色 - 那么它可能做这样的事情：

[CustomAuthorize(Roles = "View products, Edit products")] 

通过扩展AuthorizeAttribute，我还可以定义我是如何存储和访问权限。

这个解决方案对我来说是可以接受的（尽管改变角色的语义有点味道）。
但在提交之前，我想看看还有哪些其他选项。这就是我陷入困境的地方 - 我还没有找到关于ASP.NET MVC授权的不同方法的完整概述。我也想知道所有的安全概念（如表单身份验证，成员资格提供者，授权属性，IPrincipal等）是如何相互关联的，以及它们应该如何协同工作。

Answer 1

你必须明白的第一件事就像Webforms一样，MVC中有一个管道。每个请求都经过许多方法，并且沿途有扩展点，可以“挂钩”并执行操作。

所有AuthorizeAttribute都会挂钩到OnAuthorization扩展点，并根据您提供给它的标准（用户名，角色等）决定是否允许某人访问。

下面是一个例子：http://geekswithblogs.net/brians/archive/2010/07/08/implementing-a-custom-asp.net-mvc-authorization-filter.aspx

您可以创建自己的自定义授权属性，做同样的事情有自己的标准。你不需要重新定义角色参数，如果你愿意，你可以创建你自己的全部。

这是MVC更喜欢的方法。另外一件好事是，如果您还将其设为过滤器，那么您可以将其添加到全局过滤器，并将其应用于所有内容（如果需要的话）。

你基本上有两个其他合理的选择。在Application_AuthenticateRequest（不推荐）中的global.asax中实现一个处理程序，或者创建一个覆盖OnAuthorize（该属性挂钩同一事物，但位于不同位置）的公共BaseController。

许多人尝试使用会话变量进行身份验证，而这只是最糟糕的事情。

由于我们对您的身份验证和权限系统一无所知，我们所能做的只是提供一般性建议。