【问题标题】:Is there a better way to implement role based access in ASP.NET framework?有没有更好的方法在 ASP.NET 框架中实现基于角色的访问?
【发布时间】:2019-11-07 21:08:25
【问题描述】:

基本上,我过去几天一直在试图弄清楚如何将简单的管理员和成员角色添加到我正在为朋友开发的网站上。 (我使用的是 ASP.NET Framework 5.2.7.0)。我知道微软内置了一个很好的基于角色的访问功能,它允许您在控制器顶部放置[Authorize Role=("Admin") 之类的东西;但是我根本无法让它工作,而且我发现的大部分资源都是针对 ASP.NET Core 的。

我尝试修改我的 web.config 文件以启用基于角色的访问(并希望将角色等迁移到我的数据库)。但由于我无法弄清楚这一切,我尝试了一条更老套的路线。 (**我不是高级程序员,我已经这样做了大约一年,绝不是专业人士)。这是我在尝试验证用户是否是管理员时基本上想出的(这也不起作用)。

 [Authorize]
    public class AdminController : Controller
    {
        private LDSXpressContext db = new LDSXpressContext();

        public ActionResult AdminPortal()
        {
            IsAdmin();
            return View();
        }

        private ActionResult IsAdmin()
        {
            string name = User.Identity.Name;
            //The User.Identity.Name stores the user email when logged in
            var currentUserObject = db.accounts.Where(x => x.clientEmail == name);

            Account currentUser = new Account();
            foreach (var user in currentUserObject)
            {
                //I loop through the results, even though only one user should 
                //be stored in the var CurrentUserObject because it's the only 
                //way I know how to assign it to an object and get its values.
                currentUser = user;
            }

            if (currentUser.role == 2) //the number 2 indicates admin in my db
            {
                return null;
            }
            else
            {
           //Even when this is hit, it just goes back and returns the 
           //AdminPortal view
                return RedirectToAction("Index", "Home");
            }
        }
    }

现在我几乎可以肯定,这不是检查登录用户是否是管理员的一种非常安全的方法,但我希望它至少可以工作。我的想法是当有人试图访问 AdminPortal 时,IsAdmin 方法将运行并检查用户是否是数据库中的管理员。如果是,则返回 null 并显示 AdminPortal 视图,如果它们不是 Admin,则将它们重定向到主页上的 Index 视图。但是,AdminPortal 页面始终显示给任何用户,这似乎也不起作用。我什至进入了代码并观察它在return RedirectToAction("Index", "Home"); 操作上运行,但随后它跳回到 AdminPortal 方法并仅返回 AdminPortal 视图。所以我的问题是:

1) 如果有人碰巧有在 ASP.NET 框架中使用基于角色的访问的经验,我会喜欢一些关于如何设置它的提示

或者,

2)如果所有其他方法都失败并且我需要使用我的 hacky 方法,为什么即使用户不是管理员,它也会继续返回 AdminView。

**注意:我知道我可以创建一个函数,如果用户是否是管理员,则返回 true 或 false,然后在 AdminPortal 控制器中有一个 if/else 语句,该语句将返回视图为 true,另一个为false,但是我不想在每个 ActionMethod 上都实现它,最好将其保留为一行,或者如果可能的话,将其保留在控制器上方的 [Authorize Role="Admin] 会很好。

非常感谢你们提供的任何帮助,我这几天一直在努力研究和解决这个问题,并决定联系社区并询问!

【问题讨论】:

  • 通过“ASP.NET Framework”,我假设您的意思是这是一个 ASP.NET MVC 5 或更低版本的项目?
  • 老实说,我真的不知道。我刚刚被告知这是 ASP.NET 框架,这就是我所知道的。我想我得去做一些研究才能弄清楚这一点!
  • 一般来说,如果有人说“ASP.NET”,他们的意思可能是“ASP.NET WebForms”,这已经有一段时间了。您所拥有的看起来类似于 ASP.NET MVC,它构建在 ASP.NET 之上,但将整体“表单”换成了模型-视图-控制器模式。

标签: asp.net asp.net-mvc role-based-access-control


【解决方案1】:

至少,您需要对正在做的事情进行一些调整:

[Authorize]
public class AdminController : Controller
{
    public ActionResult AdminPortal()
    {
        if(IsAdmin())
        {
            return View();
        }

        return RedirectToAction("Index", "Home");
    }

    private bool IsAdmin()
    {
        bool isAdmin = false;

        using(LDSXpressContext db = new LDSXpressContext())
        {
            string name = User.Identity.Name;

            //The User.Identity.Name stores the user email when logged in

            // @see https://docs.microsoft.com/en-us/dotnet/api/system.linq.enumerable.singleordefault
            var currentUser = db.accounts.SingleOrDefault(x => x.clientEmail.Equals(name, StringComparison.OrdinalIgnoreCase));

            // If the email doesn't match a user, currentUser will be null
            if (currentUser != null) 
            {
                //the number 2 indicates admin in my db
                isAdmin = currentUser.role == 2;
            }
        }

        return isAdmin;
    }
}

首先,DbContext 实例最多只能在 HTTP 请求的生命周期内使用。将其从类/控制器级别移出并将其放置在 using 块中可确保正确处理它。

接下来,您的 IsAdmin 函数实际上只需要根据您的查找返回一个真/假值,然后 AdminPortal 操作可以决定如何处理该结果。

由于电子邮件似乎是您表中的唯一字段,因此请使用 SingleOrDefaultFirstOrDefault LINQ 扩展来获取单个匹配记录。您使用哪一个取决于您,但如果它确实是一个唯一值,SingleOrDefault 更有意义(如果匹配多行,它将引发异常)。将StringComparison 标志与String.Equals 扩展方法一起使用会使您的搜索不区分大小写。有一些特定于文化的版本,但我通常会在这里使用序数匹配。

实现某个版本的 Identity 框架有点太长了,无法在这里找到答案,但无需太多工作就可以实现基于声明的身份验证方案。不过,这可能需要一个单独的答案。

【讨论】:

  • 天哪,这太有帮助了,非常感谢!那么您是否认为以这种方式实现代码足够安全?就像 User.Identity.Name 存储为可以修改的 cookie 一样?再次感谢你,你是英雄!
  • @TylerEdwards 如果没有看到您是如何实现身份验证的,这很难回答,但通常情况下,假设您没有配置它们,ASP.NET 生成的 cookie 是加密的。如果您的代码有效,但您想知道如何改进它,有Code Review,但请确保在发布问题之前阅读他们的tour
猜你喜欢
  • 2020-03-26
  • 1970-01-01
  • 2021-08-15
  • 2011-04-25
  • 2011-10-12
  • 2023-03-24
  • 2012-02-09
  • 2023-03-06
  • 2020-02-28
相关资源
最近更新 更多