asp.net-mvc – ASP.NET MVC自定义授权

发布时间：2020-12-15 18:52:22 所属栏目：asp.Net 来源：网络整理

导读：我有一个关于在MVC中的自定义授权的问题。我有一个网站，我想限制对特定网页的访问，具体取决于他们的组成员资格。现在我已经看到很多例子，如果有一个管理员组和一个用户组，例如，但没有第三级的任何示例，如何做到这一点。例如，只有公司的用户可以查看

我有一个关于在MVC中的自定义授权的问题。

我有一个网站，我想限制对特定网页的访问，具体取决于他们的组成员资格。现在我已经看到很多例子，如果有一个管理员组和一个用户组，例如，但没有第三级的任何示例，如何做到这一点。

例如，只有公司的用户可以查看自己公司的订单(每个公司都有自己的管理员等)。这些公司存储在DB中。所以我已经看到了做自定义授权，覆盖AuthorizeAttribute的AuthorizeCore方法，但我不知道如何访问传递到控制器的参数，以查看用户是否有权访问订单(订单ID，例如)。

这是最好的地方做检查，还是应该直接从控制器的方法处理？

解决方法

AuthorizationContext(OnAuthorize的参数)提供对Controller，RouteData，HttpContext等的访问。你应该能够在自定义的授权过滤器中使用这些来做你想要的。下面是来自AuthorizeAttribute的RoleOrOwnerAttribute的代码示例。

public override void OnAuthorization( AuthorizationContext filterContext )
{
    if (filterContext == null)
    {
        throw new ArgumentNullException( "filterContext" );
    }

    if (AuthorizeCore( filterContext.HttpContext )) // checks roles/users
    {
        SetCachePolicy( filterContext );
    }
    else if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
    {
        // auth failed,redirect to login page
        filterContext.Result = new HttpUnauthorizedResult();
    }
    // custom check for global role or ownership
    else if (filterContext.HttpContext.User.IsInRole( "SuperUser" ) || IsOwner( filterContext ))
    {
        SetCachePolicy( filterContext );
    }
    else
    {
        ViewDataDictionary viewData = new ViewDataDictionary();
        viewData.Add( "Message","You do not have sufficient privileges for this operation." );
        filterContext.Result = new ViewResult { MasterName = this.MasterName,ViewName = this.ViewName,ViewData = viewData };
    }

}

// helper method to determine ownership,uses factory to get data context,// then check the specified route parameter (property on the attribute)
// corresponds to the id of the current user in the database.
private bool IsOwner( AuthorizationContext filterContext )
{
    using (IAuditableDataContextWrapper dc = this.ContextFactory.GetDataContextWrapper())
    {
        int id = -1;
        if (filterContext.RouteData.Values.ContainsKey( this.RouteParameter ))
        {
            id = Convert.ToInt32( filterContext.RouteData.Values[this.RouteParameter] );
        }

        string userName = filterContext.HttpContext.User.Identity.Name;

        return dc.Table<Participant>().Where( p => p.UserName == userName && p.ParticipantID == id ).Any();
    }
}


protected void SetCachePolicy( AuthorizationContext filterContext )
{
    // ** IMPORTANT **
    // Since we're performing authorization at the action level,the authorization code runs
    // after the output caching module. In the worst case this could allow an authorized user
    // to cause the page to be cached,then an unauthorized user would later be served the
    // cached page. We work around this by telling proxies not to cache the sensitive page,// then we hook our custom authorization code into the caching mechanism so that we have
    // the final say on whether a page should be served from the cache.
    HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache;
    cachePolicy.SetProxyMaxAge( new TimeSpan( 0 ) );
    cachePolicy.AddValidationCallback( CacheValidateHandler,null /* data */);
}

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!