asp.net-mvc – ASP.NET MVC自定义授权
发布时间:2020-12-15 18:52:22 所属栏目:asp.Net 来源:网络整理
导读:我有一个关于在MVC中的自定义授权的问题。 我有一个网站,我想限制对特定网页的访问,具体取决于他们的组成员资格。现在我已经看到很多例子,如果有一个管理员组和一个用户组,例如,但没有第三级的任何示例,如何做到这一点。 例如,只有公司的用户可以查看
我有一个关于在MVC中的自定义授权的问题。
我有一个网站,我想限制对特定网页的访问,具体取决于他们的组成员资格。现在我已经看到很多例子,如果有一个管理员组和一个用户组,例如,但没有第三级的任何示例,如何做到这一点。 例如,只有公司的用户可以查看自己公司的订单(每个公司都有自己的管理员等)。这些公司存储在DB中。所以我已经看到了做自定义授权,覆盖AuthorizeAttribute的AuthorizeCore方法,但我不知道如何访问传递到控制器的参数,以查看用户是否有权访问订单(订单ID,例如)。 这是最好的地方做检查,还是应该直接从控制器的方法处理? 解决方法
AuthorizationContext(OnAuthorize的参数)提供对Controller,RouteData,HttpContext等的访问。你应该能够在自定义的授权过滤器中使用这些来做你想要的。下面是来自AuthorizeAttribute的RoleOrOwnerAttribute的代码示例。
public override void OnAuthorization( AuthorizationContext filterContext ) { if (filterContext == null) { throw new ArgumentNullException( "filterContext" ); } if (AuthorizeCore( filterContext.HttpContext )) // checks roles/users { SetCachePolicy( filterContext ); } else if (!filterContext.HttpContext.User.Identity.IsAuthenticated) { // auth failed,redirect to login page filterContext.Result = new HttpUnauthorizedResult(); } // custom check for global role or ownership else if (filterContext.HttpContext.User.IsInRole( "SuperUser" ) || IsOwner( filterContext )) { SetCachePolicy( filterContext ); } else { ViewDataDictionary viewData = new ViewDataDictionary(); viewData.Add( "Message","You do not have sufficient privileges for this operation." ); filterContext.Result = new ViewResult { MasterName = this.MasterName,ViewName = this.ViewName,ViewData = viewData }; } } // helper method to determine ownership,uses factory to get data context,// then check the specified route parameter (property on the attribute) // corresponds to the id of the current user in the database. private bool IsOwner( AuthorizationContext filterContext ) { using (IAuditableDataContextWrapper dc = this.ContextFactory.GetDataContextWrapper()) { int id = -1; if (filterContext.RouteData.Values.ContainsKey( this.RouteParameter )) { id = Convert.ToInt32( filterContext.RouteData.Values[this.RouteParameter] ); } string userName = filterContext.HttpContext.User.Identity.Name; return dc.Table<Participant>().Where( p => p.UserName == userName && p.ParticipantID == id ).Any(); } } protected void SetCachePolicy( AuthorizationContext filterContext ) { // ** IMPORTANT ** // Since we're performing authorization at the action level,the authorization code runs // after the output caching module. In the worst case this could allow an authorized user // to cause the page to be cached,then an unauthorized user would later be served the // cached page. We work around this by telling proxies not to cache the sensitive page,// then we hook our custom authorization code into the caching mechanism so that we have // the final say on whether a page should be served from the cache. HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache; cachePolicy.SetProxyMaxAge( new TimeSpan( 0 ) ); cachePolicy.AddValidationCallback( CacheValidateHandler,null /* data */); } (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- 发布ASP.NET核心应用程序:命令“npm install”退出,代码为
- 深入理解C# 3.x的新特性(2):Extension Method[上篇]
- asp.net-mvc – Asp.Net MVC中的管理区域
- .net – MVC 4 Mocking HttpContext – 如何模拟DisplayMod
- asp.net-mvc – WebApi和Controller overkill
- ASP.net WebForms – 构造函数与Page_Load
- .net – 基于属性值的Ninject条件绑定
- asp.net-mvc – ASP.NET MVC PostAuthorizeRequest(和其他事
- asp.net access web.config denied
- asp.net-mvc – 带有MVC样式存储库的.NET RIA服务?
推荐文章
站长推荐
- asp.net-mvc – ASP.NET MVC中Rake路由的等价物
- asp.net – Excel单元格对齐:例如,数值xlLeft,x
- asp.net – Web配置转换不适用于Visual Studio o
- asp.net – 我今天应该使用什么DOCTYPE?
- asp.net-mvc – 哪里可以将商业模式转换成模型?
- asp.net – 配置部分不能在web.config文件中包含
- asp.net-mvc – 在ajax请求中返回PDF
- asp.net – Text 4.5中的文本.NET 4.5中的Time属
- asp.net – 按IN子句排序SQL Server结果
- asp.net-mvc – 失败的ASP.NET MVC路由.这是一个
热点阅读