将授权逻辑从 ASP.NET Webforms 迁移到 ASP.NET MVC3

Question

我开始将 ASP.NET Webforms 应用程序迁移到 ASP.NET MVC 3。该应用程序有一个可供所有用户（也包括匿名用户）访问的公共区域和几个只有经过身份验证的用户才能访问的区域担任特定角色。

WebForms 项目的组织方式如下：

Root folder -> contains all public pages
 |
 --- Private subfolder -> contains a few pages for ALL authenticated users
      |
      --- Customers subfolder -> contains pages for users in role "Customer"
      --- Suppliers subfolder -> contains pages for users in role "Supplier"
      --- Internals subfolder -> contains pages for users in role "Internal"
           |
           --- Admins subfolder -> contains pages for users in role "Admin"
      etc.

目前授权由不同子文件夹中的web.config 文件管理。例如Customers 子文件夹包含以下web.config：

<configuration>
    <system.web>
        <authorization>
            <allow roles="Customer" />
            <deny users="*" />
        </authorization>
    </system.web>
</configuration>

在 ASP.NET Webforms 中不再需要配置。此授权适用于Customers 子文件夹中的所有页面。

将此结构迁移到 ASP.NET MVC 3 的最佳方法是什么？或者更具体地说：

• 具有授权设置的此类web.config 文件是否仍可在 MVC 中以文件夹为基础工作？
• 如果没有，是否有其他方法可以将授权要求应用于文件夹中的所有页面？
• 我仍然可以将各个区域组织在单独的文件夹中，尤其是我可以将单个Controllers、Views、Models 子文件夹放在每个文件夹Customers、Suppliers 等下以保留所有逻辑和标记紧密结合？

感谢您的反馈！

Answer 1

这种带有授权设置的 web.config 文件是否仍然在 MVC 中基于文件夹工作

它们可以但不应该被使用。

如果没有，是否有其他方法可以将授权要求应用于文件夹中的所有页面？

在 ASP.NET MVC 中没有文件夹的概念。有控制器、模型和视图。还有areas。因此，您可以创建一个客户区域并拥有一个基础控制器，该区域中的所有控制器都来自该控制器。然后，您将使用 [Authorize] 属性装饰此基本控制器。这样，所有派生的控制器和操作都需要用户获得授权才能访问它们。您不需要使用区域来实现此目的。您仍然可以在使用此属性装饰的主区域中拥有一个基本控制器，并拥有所有需要身份验证才能派生的控制器。

这里有一个blog post，你可以看看关于 ASP.NET MVC 中的授权。

Answer 2

唯一支持保护您的 MVC 应用程序的方法是将 [Authorize] 属性应用于每个控制器和操作方法。

这里是link Microsoft Rick Anderson 的博客Securing your ASP.NET MVC 3 Application