c# – 如何在控制器和操作级别使用Authorize属性？

该属性既适用于控制器级别,也适用于操作级别.

这是我需要做的一个例子：

[ClaimsAuthorize(Roles = "AdvancedUsers")]
public class SecurityController : Controller
{
    [ClaimsAuthorize(Roles = "Administrators")]
    public ActionResult AdministrativeTask()
    {
        return View();
    }

    public ActionResult SomeOtherAction()
    {
        return View();
    }
}

目前,如果用户具有管理员角色但不具有AdvancedUsers角色,则他无法执行“管理任务”.

即使用户未在控制器级别授权,如何更改此行为以在操作级别执行安全检查？

目前,我能想到的唯一解决方案是实现2个属性：一个用于保护控制器,另一个用于保护操作.然后我将使用Order属性首先在动作级别执行一个.

但是,如果可能的话,我更喜欢具有单个属性的解决方案.