我需要一些建议。 我正在扩展一个 Web 应用程序以与 AD 成员角色集成,并且不太确定我是否可以依靠 User.IsInRole 来获得成员角色信息。最初的测试表明确实如此,但是使用它和编写一个类以返回用户角色与 DirectorySearcher/AccountManagement 之间有什么区别?
一种解决方案比另一种更好吗?
在我看来,它在这种情况下实现了同样的效果。我说的对吗?
谢谢。
【问题讨论】:
标签: c# .net active-directory
如果您使用活动目录授权,Users.IsInRole 检查用户是否是给定组的成员。这与检查用户所属的组并不完全相同,因为这只会提供 direct 成员资格。 Users.IsInRole 还检查嵌套组成员身份。一个例子:
UserA 是 GroupA 的成员
GroupA 是 GroupB 的成员
现在,如果您查看UserA 的直接会员资格,您将只会得到GroupA。但是Users.IsInRole 将表明UserA 是GroupB 的成员,这要归功于嵌套。
【讨论】:
PrinciplePermission 或PrincipalPermissionAttribute 是控制访问的最简单方法。它也完全独立于底层身份提供者,因此您的代码将适用于 Windows 帐户和例如一个 ASP.Net 会员提供者。
System.DirectoryServices.AccountManagement 命名空间(read excellent article 了解更多信息),调用UserPrincipal.GetGroups() 将也返回用户的任何嵌套成员身份跨度>
只需使用 Users.IsInRole。不要让自己变得更难。这就是它的用途。
【讨论】: