asp.net-mvc – ASP.net MVC – 为一个用户/角色授权控制器,但为

发布时间：2020-12-16 04:19:20 所属栏目：asp.Net 来源：网络整理

导读：我有一个像这样的控制器： [Authorize(Users="Admin")]public class MyController : Controller{ ... [AllowAnonymous] public AllUsersAction() { }} 除了我确实想要授权AllUsersAction之外,只有所有授权用户都应该能够点击它,而不仅仅是管理员. 该怎么办？

我有一个像这样的控制器：

[Authorize(Users="Admin")]
public class MyController : Controller
{
    ...

    [AllowAnonymous]
    public AllUsersAction()
    {

    }
}

除了我确实想要授权AllUsersAction之外,只有所有授权用户都应该能够点击它,而不仅仅是管理员.

该怎么办？

编辑：我知道我可以授权整个控制器,并为管理员只能使用的所有操作提供更多限制.但我宁愿不把属性放在每一个动作上,而是一个.

这个问题可以更好地表达：如果目前不可能实现这种“极简主义”,那么实施会是什么样的？

解决方法

使用Authorize属性,不带控制器的任何参数：

[Authorize]
public class MyController : Controller
{
    ...
    public AllUsersAction()
    {

    }

    [Authorize(Users="Admin")]
    public ActionResult OnlyForAdmin()
    {
    }

}

并为受限操作指定“授权”属性“角色/用户”属性.

遗憾的是,只有当action具有AllowAnonymous属性时,控制器上的Authorize属性才会绕过授权.幸运的是,如果action有自己的Authorize属性,你可以覆盖Authorize属性的OnAuthorization方法以跳过控制器中的授权检查Authorize属性：

public class CustomAuthorize : AuthorizeAttribute
{
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        if(filterContext.ActionDescriptor.IsDefined(typeof(AuthorizeAttribute),true)) 
        {
            //skip authorization check if action has Authorize attribute
            return;
        }

        base.OnAuthorization(filterContext);
    }
}

您可以在示例中使用此CustomAuthorize：

[CustomAuthorize(Users="Admin")]
public class MyController : Controller
{
    ...

    [Authorize]
    public AllUsersAction()
    {

    }
}

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!