asp.net-mvc – ASP.NET MVC授权和使用模型类的权限

那是一个棘手的问题,简单的解决方案是：

让你的CustomAuthorize原样,但让它继续Action,而不是返回错误View或者只是注入一个动作参数,即：

CustomAuthorize：

//..Your Role Validation Logic Here...
  if (filterContext.ActionParameters.Keys.Contains("isAuthorize"))
       {
         filterContext.ActionParameters.Remove("isAuthorize");
       }
   filterContext.ActionParameters.Add("isAuthorize",isAuthorized);

WhereAuthorized将保存角色验证逻辑的结果.

所以在你的控制器中,你必须添加第二个参数：

[CustomAuthorize(Roles="Editor,Admin")]
public ActionResult Stats(int id,bool isAuthorized)
{
    User user = userRepository.GetUser(id);

    if (user == null || !user.Activated || user.Removed)
        return View("NotFound");
    else if (user.Id != CurrentUser.Id && !isAuthorized)
            //not Authorized by roles
            //not the owner get away from here =D
        return View("NotAuthorized");

    return View(user);
}

我假设您可以访问来自BaseController(abstrac类)中的属性的CurrentUser.

实施比这更精细的事情将导致复杂的情况.

例如,您可以,但不建议：

A.将所有者的userID作为参数发送(因此,每次在URL GET或POST请求上发送ID时,都必须添加所有者的用户ID作为参数).但这可能会导致非常丑陋的安全漏洞,因为您依赖于可能被用户和woala篡改的线路发送的用户ID！我现在授权.

B.尝试在动作过滤器中实例化对象(但是你必须首先找出你想要实例的实体,这可能会导致一个长的switch语句和CustomAuthorize中的第三个参数,所以你知道从哪个实体获取D B).