ASP.NET MVC 4 为不同页面的用户提供不同的权限

Question

假设我有一个 ASP.NET MVC 4 应用程序。我需要为同一用户在不同页面上提供不同的权限。例如，同一用户可能是一个页面上的管理员和另一个页面上的访客。 MVC 默认提供系统范围的用户权限。 我挖掘了一些我应该使用自定义会员提供程序来实现我的目标的信息，但我还不确定这一点。 有人可以提出解决方案吗？

角色在相同类型的页面上的行为应该相同。假设论坛上的主题内容只能由创建它的人或版主编辑。然而，用户将无法编辑其他人的主题，并且主持人将无法编辑不属于他的主题主题组的主题。我的应用程序中的角色系统的行为应该类似。

Answer 1

您不一定要创建自定义成员资格提供程序，但您必须以不同的方式考虑权限。

首先，将您脑海中的“角色”替换为“操作”。

您需要在您的应用程序中创建原子的、细粒度的权限，例如：

• 用户属性视图
• UserPropertiesModify
• 创建用户
• 删除用户
• 角色视图
• 角色修改
• 创建角色
• 删除角色

一开始可能会很困难，但这让您可以很好地控制和灵活地将操作分配给各个用户。由于不同的页面会有不同的操作，您可以自定义它们的访问权限。

不幸的是，开箱即用的 ASP.Net 成员资格和角色提供者都脱离了课程粒度角色的概念。 只要您知道它们是操作，而不是角色，您就可以了。

抽象是你的朋友：

public static class Permissions
{
   public static bool Operation(string op)
   {
      //this class can be a lot better
      // it can be testable, and check
      // error conditions, but this is
      // only an example :)
      return HttpContext.Current.User.IsInRole(op);
   }
}

您可能希望将所有这些操作归为角色，但这需要您进行一些自定义编程。

自定义提供程序真的没有那么可怕，您可以轻松扩展内置的提供程序。

• Custom Role Provider
• Custom Membership Provider