ASP.NET MVC3 角色和权限管理 -> 使用运行时权限分配

Question

ASP.NET MVC 允许用户在设计时为功能（即操作）分配权限，就像这样。

[Authorize(Roles = "Administrator,ContentEditor")]
public ActionResult Foo()
{
    return View();
}

要实际检查权限，可以在（Razor）视图中使用以下语句：

@if (User.IsInRole("ContentEditor"))
{
    <div>This will be visible only to users in the ContentEditor role.</div>
}

这种方法的问题是所有权限都必须在设计时设置并分配为属性。 （属性是与 DLL 一起编译的，所以我目前知道没有机制可以在 runtime 应用属性（以允许额外的权限），例如 [Authorize(Roles = "Administrator,ContentEditor")]。

在我们的用例中，客户端需要能够在部署后更改哪些用户拥有哪些权限。

例如，客户端可能希望允许ContentEditor 角色中的用户编辑某些特定类型的内容。可能不允许用户编辑查找表值，但现在客户端希望允许此操作而不授予用户 all 下一个更高角色的权限。相反，客户端只是想修改用户的当前角色可用的权限。

有哪些策略可用于允许在属性之外（如在数据库中）定义 MVC 控制器/视图/操作权限并在运行时评估和应用？ em>

如果可能，我们非常希望尽可能地坚持使用 ASP.NET 成员资格和角色提供程序功能，以便我们可以继续利用它提供的其他好处。

提前感谢您提供任何想法或见解。

Answer 1

有哪些策略可用于允许 MVC 上的权限 在属性之外定义的控制器/视图/动作（如在 数据库）并在运行时评估和应用？

自定义 Authorize 属性是实现此目的的一种可能性：

public class MyAuthorizeAttribute : AuthorizeAttribute
{
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        Roles = ... go ahead and fetch those roles dynamically from wherever they are stored
        return base.AuthorizeCore(httpContext);
    }
}

然后：

[MyAuthorize]
public ActionResult Foo()
{
    return View();
}

Answer 2

由于我很懒，我懒得滚动我自己的属性并为此使用FluentSecurity。除了在运行时应用规则的能力之外，它还允许以自定义方式检查角色成员资格。在我的情况下，我为每个角色设置了一个配置文件，然后我实现了类似以下的内容；

// Map application roles to configuration settings
private static readonly Dictionary<ApplicationRole, string> 
    RoleToConfigurationMapper = new Dictionary<ApplicationRole, string>
        {
            { ApplicationRole.ExceptionLogViewer, "ExceptionLogViewerGroups" }
        };

然后像这样应用应用程序角色

SecurityConfigurator.Configure(
    configuration =>
    {
        configuration.GetAuthenticationStatusFrom(() =>
            HttpContext.Current.User.Identity.IsAuthenticated);
        configuration.GetRolesFrom(() => 
            GetApplicationRolesForPrincipal(HttpContext.Current.User));
        configuration.ForAllControllers().DenyAnonymousAccess();
        configuration.For<Areas.Administration.Controllers.LogViewerController>()
            .RequireRole(ApplicationRole.ExceptionLogViewer);
    });

filters.Add(new HandleSecurityAttribute());

然后检查由

public static object[] GetApplicationRolesForPrincipal(IPrincipal principal)
{
    if (principal == null)
    {
        return new object[0];
    }

    List<object> roles = new List<object>();
    foreach (KeyValuePair<ApplicationRole, string> configurationMap in
             RoleToConfigurationMapper)
    {
        string mappedRoles = (string)Properties.Settings.Default[configurationMap.Value];

        if (string.IsNullOrEmpty(mappedRoles))
        {
            continue;
        }

        string[] individualRoles = mappedRoles.Split(',');
        foreach (string indvidualRole in individualRoles)
        {
            if (!roles.Contains(configurationMap.Key) && principal.IsInRole(indvidualRole))
            {
                roles.Add(configurationMap.Key);
                if (!roles.Contains(ApplicationRole.AnyAdministrationFunction))
                {
                    roles.Add(ApplicationRole.AnyAdministrationFunction);
                }
            }
        }
    }

    return roles.ToArray();
}

您当然可以从数据库中提取角色。这样做的好处是我可以在开发过程中应用不同的规则，而且有人已经为我完成了艰苦的工作！

Answer 3

您还可以考虑执行基于任务/活动的安全性，并动态地将执行这些任务的权限分配给不同的组

http://lostechies.com/derickbailey/2011/05/24/dont-do-role-based-authorization-checks-do-activity-based-checks/

您需要稍微修改提供程序才能使用此功能，但可以与 .net 授权保持一致

http://www.lhotka.net/weblog/PermissionbasedAuthorizationVsRolebasedAuthorization.aspx

Answer 4

如果您需要进行基于方法或控制器的授权（拒绝访问整个方法或控制器），那么您可以覆盖控制器库中的 OnAuthorization 并进行自己的授权。然后，您可以构建一个表来查找分配给该控制器/方法的权限并从那里开始。

你也可以做一个自定义的全局过滤器，非常相似。

使用第二种方法的另一种选择是这样说：

@if (User.IsInRole(Model.MethodRoles)) 
{ 
    <div>This will be visible only to users in the ContentEditor role.</div> 
} 

然后在您的控制器中使用分配给该方法的角色填充 MethodRoles。