是否可以在 Razor 视图中使用基于 AuthorizeAttribute 的自定义过滤器？

Question

是否可以在剃刀视图中使用自定义过滤器？

例如，我有这个在控制器中工作：

[Privilege(Privileges ="AdminRead, AdminWrite"))]
public ActionResult Index()
{
return View();
}

但是是否有可能在 Razor cshtml 文件中执行以下操作：

if(@[Privilege(Privileges ="AdminRead, AdminWrite"))])
{
//html goes here
}

如果有所不同，则 PrivilegeAttribute 派生自 AuthorizeAttribute。

PrivilegeAttribute.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Security.Claims;
using System.Web;
using System.Web.Mvc;
using System.Web.Security;

namespace IdentityDevelopment.Infrastructure
{
    [AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited = true, AllowMultiple = true)]
    public class PrivilegeAttribute : AuthorizeAttribute
    {
        private static readonly string[] _emptyArray = new string[0];


        private string _privileges;
        private string[] _privilegesSplit = _emptyArray;

        public string Privileges
        {
            get { return _privileges ?? String.Empty; }
            set
            {
                _privileges = value;
                _privilegesSplit = SplitString(value);
            }
        }

        internal static string[] SplitString(string original)
        {
            if (String.IsNullOrEmpty(original))
            {
                return _emptyArray;
            }

            var split = from piece in original.Split(',')
                        let trimmed = piece.Trim()
                        where !String.IsNullOrEmpty(trimmed)
                        select trimmed;
            return split.ToArray();
        }

      public PrivilegeAttribute(string privilegeList)
    {
        _privileges = privilegeList;
    }
        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            bool isAuthorized = base.AuthorizeCore(httpContext);

            if (isAuthorized) {
                string[] rolesArray;

                var roles = ((ClaimsIdentity)httpContext.User.Identity).Claims
                    .Where(c => c.Type == ClaimTypes.Role)
                    .Select(c => c.Value);

                rolesArray = roles.ToArray();

                //Assume that a user can only be associated to 0 or 1 role. If 0 the rolesArray will be null.

                if (rolesArray != null)
                {
                    string roleUser = rolesArray[0];

                    SQLRolerecord CheckPrivInRole = new SQLRolerecord();

                    return CheckPrivInRole.Allow(roleUser, _privilegesSplit);

                }
                else
                {
                    return false;
                }
            }
            else
            {
                return false;
            }


        }

    }
}

谢谢。

Answer 1

我相信你的问题的答案已经很好地封装了here。

您可以根据基于角色的安全性来限制用户查看。

@if (User.IsInRole("Admin"))
{
   //here blocks that you want to show to users with Admin role   
}

您也可以通过控制器处理授权，例如。

public ActionResult Index()
{
    if(User.IsInRole("Admin"))
    {
        return View("Admin");
    }
    return View("User");
}

但是您特别想要 Authorize 属性，例如。

[Authorize(Roles = "Admin")]
public ActionResult SaveTopSecret()
{

}

Answer 2

向视图添加属性或过滤器不是首选。您可以在this MSDN article 进行战利品。

过滤器可以应用于操作方法、控制器或 应用层。

您也可以通过在您的视图中选中User.IsInRole 并执行所需的操作来实现相同的目的。

另外，您还可以实现自定义 HTML 帮助程序，它可以像 HTML 控件上的扩展方法一样发挥作用。您可以在问题here 中查看示例。

Answer 3

理论上，由于ViewContext 扩展了ControllerContext，您可以实例化该属性并像这样调用它：

@if(new PrivilegeAttribute{Privileges = "AdminRead, AdminWrite"}
        .AuthorizeCore(new AuthorizationContext(this.ViewContext)))
{
   ...
}

这与向视图“添加属性”不同，但它允许您在视图中重用属性的自定义逻辑，以避免重复代码。

但是，我应该注意，首选完成您正在做的事情的方法是：

1. 把逻辑放到一个单独的类中
2. 将该类（或其接口）注入到您的控制器中
3. 让控制器操作调用该类/接口的方法来发现用户是否有权限。
4. 让控制器操作将该信息保存到强类型视图模型中，并将视图模型传递到视图中
5. 让视图访问 view-model 属性以确定如何显示内容。

Answer 4

好的，我已经了解了使用枚举设置权限的 AuthorizeAttribute 路线。使用字符串来定义权限似乎更清晰一点，也少了一点。

所以这在控制器中工作正常

 [AccessRole(AccessLevel.SuperAdmin, AccessLevel.Admin)]

例如。现在我们必须解决剃刀问题。 第 1 步将此添加到您的 AccessRole 类中

 public bool Auth(HttpContextBase httpContext)
        {
            return this.AuthorizeCore(httpContext);
        }

第2步添加这个类（访问级别是枚举）

public static class AccessRoleHelper {


        public static bool IsInRole(HttpContextBase httpContext, params AccessLevel[] roles)
    {

        var ac = new AccessRole(roles);

        return ac.Auth(httpContext);

    }



    }

步骤 3. 将命名空间添加到 razor web.cong

第 4 步。

@if (AccessRoleHelper.IsInRole(this.Context, AccessLevel.Admin, AccessLevel.SuperAdmin))
    <p>has access</p>
}

嗯，我还在学习 c# - 但我总是问自己，我对这个解决方案满意吗？时间会证明一切。但是一个解决方案也不少。

[编辑] 您可以通过在 razor 中添加更多包含命名空间来进行一些清理。

Answer 5

Attribute 是...

摘录：

一种将元数据或声明性信息与代码（程序集、类型、方法、属性等）相关联的强大方法。属性与程序实体关联后，可以在运行时使用一种称为反射的技术来查询该属性。

所以你的代码：

if(@[Privilege(Privileges ="AdminRead, AdminWrite"))])
{
  //html goes here
}

完全无效，因为属性只能与类型、方法或属性相关联。 （又名...）

[MyClassAttribute]
public class MyClass
{
  [MyPropertyAttribute]
  public int Height { get; set; }

  [MyMethodAttribute]
  public int GetWidth()
  { 
    //.....
  }
}

听起来您想封装和重用您的代码。如果是这种情况，那么您需要删除自定义属性中的大部分代码并将其放在其他位置。例如，您可以：

public static class IPrincipleExtensions
{
  public static bool HasAccess(this IPrinciple principle, IEnumerable<string> roles)
  {
  }
}

此属性适用于控制器

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, 
 Inherited = true, 
 AllowMultiple = true)]
public class PrivilegeAttribute : AuthorizeAttribute
{
  protected override bool AuthorizeCore(HttpContextBase httpContext)
  {
    bool isAuthorized = base.AuthorizeCore(httpContext);

    if (isAuthorized)
    {
      httpContext.Identity.HasAccess(_privilegesSplit)
    }

    return isAuthorized;
}

您可以在视图中重用 PrivilegeProvider

// something like
@if(User.HasAccess("AdminRead, AdminWrite"))
{
  //html goes here
}

虽然以这种方式使用它实际上只是对 User.IsInRole 的一种破解，所以它需要更多的代码来做同样的事情。