ASP.NET MVC 4使用权限代码自定义授权属性(无角色)

Question

ASP.NET MVC 4使用权限代码自定义授权属性(无角色)

cha*_*ura 117 authorization custom-attributes asp.net-mvc-4

我需要在我的MVC 4应用程序中根据用户权限级别(没有角色,只分配给用户的CRUD操作级别的权限级别)来控制对视图的访问.

示例如下AuthorizeUser将是我的自定义属性abd我需要像下面一样使用它.

[AuthorizeUser(AccessLevels="Read Invoice, Update Invoice")]
public ActionResult UpdateInvoice(int invoiceId)
{
   // some code...
   return View();
}


[AuthorizeUser(AccessLevels="Create Invoice")]
public ActionResult CreateNewInvoice()
{
  // some code...
  return View();
}


[AuthorizeUser(AccessLevels="Delete Invoice")]
public ActionResult DeleteInvoice(int invoiceId)
{
  // some code...
  return View();
}

Run Code Online (Sandbox Code Playgroud)

这可能吗？怎么样？提前致谢...

Chatura

Answer 1

cha*_*ura 237

我可以使用自定义属性执行此操作,如下所示.

[AuthorizeUser(AccessLevel = "Create")]
public ActionResult CreateNewInvoice()
{
    //...
    return View();
}

Run Code Online (Sandbox Code Playgroud)

自定义属性类如下.

public class AuthorizeUserAttribute : AuthorizeAttribute
{
    // Custom property
    public string AccessLevel { get; set; }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var isAuthorized = base.AuthorizeCore(httpContext);
        if (!isAuthorized)
        {                
            return false;
        }

        string privilegeLevels = string.Join("", GetUserRights(httpContext.User.Identity.Name.ToString())); // Call another method to get rights of the user from DB

        return privilegeLevels.Contains(this.AccessLevel);           
    }
}

Run Code Online (Sandbox Code Playgroud)

您可以AuthorisationAttribute通过覆盖HandleUnauthorizedRequest方法重定向自定义中的未授权用户:

protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
    filterContext.Result = new RedirectToRouteResult(
                new RouteValueDictionary(
                    new
                        { 
                            controller = "Error", 
                            action = "Unauthorised" 
                        })
                );
}

Run Code Online (Sandbox Code Playgroud)

我正在赞成,但后来我看到"if(condition){return true;} else {return false;}"在最后.... (29认同)
.Name.ToString（）是多余的，因为Name属性已经是字符串 (2认同)

Answer 2

小智 13

这是对prev的修改.回答.主要区别在于用户未经过身份验证时,它使用原始的"HandleUnauthorizedRequest"方法重定向到登录页面:

   protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {

        if (filterContext.HttpContext.User.Identity.IsAuthenticated) {

            filterContext.Result = new RedirectToRouteResult(
                        new RouteValueDictionary(
                            new
                            {
                                controller = "Account",
                                action = "Unauthorised"
                            })
                        );
        }
        else
        {
             base.HandleUnauthorizedRequest(filterContext);
        }
    }

Run Code Online (Sandbox Code Playgroud)

Answer 3

Rap*_*elH 5

也许这对将来的任何人都有用，我已经实现了一个自定义的授权属性，如下所示：

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class ClaimAuthorizeAttribute : AuthorizeAttribute, IAuthorizationFilter
{
    private readonly string _claim;

    public ClaimAuthorizeAttribute(string Claim)
    {
        _claim = Claim;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var user = context.HttpContext.User;
        if(user.Identity.IsAuthenticated && user.HasClaim(ClaimTypes.Name, _claim))
        {
            return;
        }

        context.Result = new ForbidResult();
    }
}

Run Code Online (Sandbox Code Playgroud)

归档时间：	13 年前
查看次数：	138943 次
最近记录：	6 年，7 月前