我正在保护一个 ASP.NET MVC 2 应用程序,并且我有一个角色为“Foo”的用户。
这是真的:
User.IsInRole("Foo")
但是,当我尝试锁定如下控制器操作时,用户被拒绝:
[Authorize(Roles = "Foo")]
public ActionResult PrivatePage()
{
return View();
}
如果 IsInRole 报告为 true,为什么 Authorize 属性不允许用户进入?
【问题讨论】:
标签: asp.net asp.net-mvc
如果您为表单身份验证 cookie 存储持久性 cookie,可能会导致这种情况。在这种情况下,IsInRole 可能会在不验证最新登录的情况下检查 cookie。
【讨论】:
对于未来有类似问题的人 - 这可能取决于您如何实际设置当前用户的角色。
我遇到了类似的问题,即角色被从 cookie 中拉出,并覆盖了基本控制器中的 OnActionExecuting。原来这是在[Authorize] 属性之后执行的,所以在属性检查角色时实际上并没有设置角色。在视图中对User.IsInRole 的调用是在OnActionExecuting 之后执行的,因此它可以很好地看到角色。
所以User.IsInRole 返回了我的预期,但[Authorize] 属性没有。
我能够通过将获取角色的代码移到更合理的位置来解决这个问题,该位置在 Authorize 属性之前执行 - 例如,在 Global.asax.cs 中:
protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
// do stuff in here
}
或者甚至更好,在您自己的自定义属性中 - 请参阅 https://stackoverflow.com/a/5314736/206297。
【讨论】:
它们都应该返回 true。您是否尝试过使用 SQL Profiler 检查针对数据库运行的查询?
【讨论】: