如何使 [Authorize] 属性更灵活？

Question

我有一个 MVC 5 应用程序，我通过只允许某些经过身份验证的用户访问我的控制器中的特定操作来锁定它。我利用类顶部的授权属性，只允许我想在登录后获得访问权限的用户。我使用放置在班级顶部的以下属性来做到这一点......

[Authorize(Users="user1,user2")]

这很好用！但是，如果我不想每次向这个特定控制器添加新用户时都重新编译和部署应用程序怎么办？

我想我可以将它添加到我的 web.config 文件中，如下所示...

<appSettings>
  <add users="user1,user2"/>
</appSettings>

但是当我尝试像这样在控制器中访问此密钥时：[Authorize(Users=ConfigurationManager.AppSettings["users"])] 我收到一个错误：无法解析符号“AppSettings”。

有没有办法做到这一点？

Answer 1

我不确定为什么一个没有回答问题的答案被接受了。无论如何，我认为可能值得为任何未来的旅行者添加答案。

虽然没有开箱即用地提供此功能，但通过编写您自己的授权属性当然可以实现。

public class ConfigAuthorize : AuthorizeAttribute
{
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var allowedUsers = ConfigurationManager.AppSettings["CoolActionAllowedUsers"];
        var allowedUsersArray = allowedUsers.Split(',');

        if (httpContext.User.Identity != null && allowedUsersArray.Contains(httpContext.User.Identity.Name))
        {
            return true;
        }

        return false;
    }
}

并使用属性：

[ConfigAuthorize]
public ActionResult CoolAction() {
    //...
}

在上面的代码中，当您在AuthorizeCore 中执行授权时，来自CoolActionAllowedUsers 的配置值将被拉入内存，并且将验证当前经过身份验证的用户是否在允许的用户列表中。如果您对配置文件进行更改，则不会有问题；应用程序池将自动重启，下次代码运行读取配置文件时，您的新值将被读取。

我完全同意@Shoe 应该使用角色的观点。在你的代码中管理用户列表简直是一件麻烦事。事实上，在工作中，每当我收到一个要求一个随机用户访问页面的请求时，我总是需要设置一个组。但是，上面的代码也可以应用于角色列表。

Answer 2

不要使用Users 参数，而是使用Roles 参数。

[Authorize(Roles="CanExecuteActions")]

现在，您可以通过授予用户此角色来管理哪些用户可以访问您的控制器。没有角色的任何用户都无法执行控制器的任何操作。