ASP.NET MVC 3自定义身份验证/授权
我已经在互联网上搜索了所有内容,我在这个主题上找到了一些好的东西,但我还有一些问题,我仍然不确定:
1)我正在使用自定义身份验证提供程序的表单身份验证.所以我仍然使用Authorize属性和web.config中的部分,但基本上当FormsAuthenticationTicket不存在时,我重定向到登录页面(在web.config中指定),然后利用自定义身份验证提供程序来授权用户对数据库然后发出FormsAuthenticationTicket.它是否正确? 2)我应该使用自定义Authorize属性还是应该从Global.asax页面中的Application_AuthenticateRequest事件处理程序中将GenericPrincipal注入HttpContext?或者我应该使用控制器操作的User.IsInRole insode? 我只需要基于角色的授权,我认为我的身份验证方案非常好. 任何指针/建议? 谢谢, 编辑 因此,根据我的阅读,最好的选择是创建自定义AuthorizeAttribute并覆盖AuthorizeCore. 所以我做的是这样的: public class CustomAuthorize : System.Web.Mvc.AuthorizeAttribute { protected override bool AuthorizeCore(HttpContextBase httpContext) { if (httpContext.User.Identity.IsAuthenticated) { var model = AdminUserViewModel.FromJsonString(((FormsIdentity)httpContext.User.Identity).Ticket.UserData); httpContext.User = new GenericPrincipal(HttpContext.Current.User.Identity,model.SecurityGroups.Select(x => x.Name).ToArray()); } return base.AuthorizeCore(httpContext); } protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext) { //base.HandleUnauthorizedRequest(filterContext); filterContext.Result = new System.Web.Mvc.RedirectResult("/Authentication/NotAuthorized",false); } } 只需使用存储在FormsAuthenticationTicket UserData属性中的角色注入新的主体/标识.然后让基地做其余的事情. 这看起来好吗? 编辑#2 我对使用IIS7的global.asax中的Application_AuthenticateRequest感到有点厌倦,因为集成管道,每个请求都会触发该事件,图像,css,js …… 它是否正确? 解决方法
1)我做同样的事情.
2)我使用Authorize属性和Application_AuthenticateRequest事件处理程序. 在Application_AuthenticateRequest事件处理程序中,我执行以下操作: string[] roles = authenticationTicket.UserData.Split(','); if (Context.User != null) Context.User = new GenericPrincipal(Context.User.Identity,roles); 在控制器或动作级别,我做这样的事情: [Authorize(Roles = "Admin,SuperAdmin")] (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- Asp.Net WebApi接口返回值IHttpActionResult
- ASP.Net MVC的ViewBag一个坑,不要跳进去
- 如何创建ASP.NET Web场?
- asp.net-mvc – 如何传递列表从控制器到MVC 3中查看
- asp.net – 如何对缓存层进行单元测试
- asp.net – 使用IronPython调用带有参数的Python脚本 – “
- asp.net-mvc-3 – MVC3,Unity Framework和Per Session Life
- asp.net-mvc-3 – 如何阻止Ninject重写自定义DataAnnotatio
- asp.net-mvc – 使用ASP.NET MVC在Details页面模板中显示来
- asp.net-mvc-3 – 在MVC中设置403错误页面