ASP.NET MVC 中的授权

Question

我正面临一个我已经研究了很多但仍然找不到解决方案的案例。 我的任务是在 ASP.NET MVC 1 应用程序中完成角色的实现。 这里的情况与应用程序权限方面的一般做法相反。 假设我们在一个 5 页的网站中有两个角色，操作员和经理。拥有一个继承这两个角色的用户，我想根据以下模式允许和拒绝查看页面的权限：

对于第 1 页，Operator 角色允许用户查看，但 Manager 角色拒绝；在这种情况下，我想让具有这两个角色的用户查看页面；

对于第 2 页，Operator 角色拒绝用户查看，Manager 角色也拒绝用户查看；当两个角色都拒绝用户查看页面时，这是我真正想要拒绝角色的唯一情况。

因此，每当用户继承多个角色时，应确定他无法查看页面的是完全拒绝（他的所有角色都被拒绝），并且只要他有一个允许的角色，即使他的所有其他角色角色拒绝，他仍然可以查看该页面。

有人知道如何实现吗？

编辑：

除了站点地图中使用的内容之外，以下只是我们应用程序中如何完成授权的一瞥。 您可以看到下面的规则正在使用多个配置文件。我上面描述的情况需要与下面的实现一起工作。

<Rules xmlns="urn:artemis.runtime.web.security">
    <!-- RUNTIME -->
    <Rule roles="*" resource="^Artemis\.Runtime\.Web\.FilesController\..*" permission="Allow" />

    <!-- ABERTURA GERAL -->
    <Rule roles="*" resource="^Tagus\.Logistics\.Web\.Controllers\..*" permission="Allow" />

<Rule roles="Gestor Cliente,DUN" resource="^Tagus\.Logistics\.Web\.Controllers\.PlanningVsEffectiveController\..*" permission="Deny" />
</Rules>

Answer 1

[Authorize(Roles = "Operator")]
public ViewResult PageOne(){
    return View();
}

[Authorize(Roles = "SomeOneElse")]
public ViewResult PageTwo(){
    return View();
}

如果我理解正确，您不会让任何一个角色查看第二页吗？

Answer 2

授权用于决定允许不拒绝谁。如果您想添加拒绝功能，我想您可以制作自定义 Authorize 属性。比如：

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited=true, AllowMultiple=true)]
public class DenyRolesAttribute : AuthorizeAttribute    
{
    public DenyRolesAttribute(string roles) : base()
    {
        Roles = roles;
    }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        if (httpContext == null)
        {
            throw new ArgumentNullException("httpContext");
        }
        IPrincipal user = httpContext.User;

        if (!string.IsNullOrEmpty(Roles) && Enumerable.Any<string>(Roles.Split(','), new Func<string, bool>(user, (IntPtr) user.IsInRole)))
        {
            return false;
        }
        return true;
     }
 }

这是我当场制作的，因此请确保您测试并整理它。或者，可以添加一个 AllowRoles 和一个 DenyRoles 属性，这样您就可以在重写的 AuthorizeCore 方法中同时做一些事情。不过你明白了