ASP.NET MVC - 动态授权

Question

我正在构建一个简单的 CMS，其中角色在管理面板中动态设置。因此，现有的授权控制器方法的方式，例如添加[Authorize(Roles="admin")]，已经不够用了。角色-动作关系必须存储在数据库中，以便最终用户可以轻松地在管理面板中授予/获取其他人的权限。我该如何实现？

Answer 1

如果你想控制授权过程，你应该继承AuthorizeAttribute并覆盖AuthorizeCore方法。然后只需使用 CmsAuthorizeAttribute 而不是默认值来装饰您的控制器。

public class CmsAuthorizeAttribute : AuthorizeAttribute
{
    public override virtual bool AuthorizeCore(HttpContextBase httpContext)
    {
        IPrincipal user = httpContext.User;
        IIdentity identity = user.Identity;

        if (!identity.IsAuthenticated) {
            return false;
        }

        bool isAuthorized = true;
        // TODO: perform custom authorization against the CMS


        return isAuthorized;
    }
}

这样做的缺点是您无法访问注入 ctor 的 IoC，因此您必须直接从容器请求任何依赖项。

Answer 2

这正是 ASP.NET 成员/配置文件为您所做的。它适用于 Authorize 属性。

如果您想自己动手，您可以创建一个自定义操作过滤器，模仿标准授权操作过滤器的行为。伪代码如下。

public MyAuthorizeAttribute : ActionFilterAttribute
{
    public string MyRole { get; set; }

    public void OnActionExecuting(ControllerContext context)
    {
        if (!(bool)Session["userIsAuthenticated"])
        {
            throw new AuthenticationException("Must log in.");
        }

        if (!Session["userRoles"].Contains(MyRole))
        {
            throw new AuthenticationException("Must have role " + MyRole);
        }
    }
}

Answer 3

角色-动作关系必须是 存储在数据库中

您必须在控制器方法中检查您的安全性，除非您想继承 AuthorizeAttribute 以便它为您从数据库中查找角色。