我有一堆需要应用基于角色的身份验证的控制器和相关视图。我正在考虑拥有一个带有 [authorize] 属性定义的基本控制器,以便我可以让从该基类继承的所有控制器仅在登录后可用。我已经测试过它可以正常工作。我不确定这是否是最佳做法,或者在这种方法中是否会出现任何坑。
将来我需要让某些页面只对特定角色的用户开放。角色列表将来自数据库表。因此,我没有更改所有相关的控制器,而是在它继承的基本控制器中进行更改。这是正确的做法吗?
感谢您的宝贵时间。
【问题讨论】:
标签: asp.net-mvc asp.net-mvc-3 forms-authentication authorization
您可以组合任意数量的Authorize 属性。
即您可以在基本控制器上拥有Authorize 属性,在另一个控制器上拥有更具体的属性(例如指定角色),在控制器操作上拥有最具体的属性(指定角色或用户)
[Authorize]
public class BaseController : Controller
{}
[Authorize(Roles="Administrator")]
public class AdminController : BaseController
{
[Authorize(Roles="SuperUser")]
public ActionResult SuperSecret()
{}
}
它将检查所有属性,只有在任何属性失败时才撤销访问权限。
将来我需要让某些页面只对特定角色的用户开放。
这就是基于角色的身份验证的工作原理。
角色列表将来自数据库表。
将角色加载到 global.asax 中 OnPostAuthenticate 方法中的自定义 IPrincipal 中。
所以我没有更改所有相关的控制器,而是在它继承的基本控制器中进行更改。
在这个要求上我不关注你。您想避免在控制器上指定角色吗?
【讨论】:
custom principal onpostauthenticate 或阅读有关 IPrincipal 的信息
可以为您的控制器使用基本控制器类。
但是,我认为您不应该将控制器的继承与您的角色层次结构联系起来。我觉得它不干净。
我会实现一个属性继承树,例如:
class NormalUserRolesAttribute: AuthorizeAttribute
class AdvancedUserRolesAttribute: AuthorizeAttribute
class AdminUserRolesAttribute: AuthorizeAttribute
OnAuthorization 行为略有不同,然后用这些属性标记您的控制器。
【讨论】:
[Authorize(Roles = "AdvancedUser")]相比有什么优势吗?在我看来,你只是把事情复杂化了。
IPrincipal 中,因为 .NET 中的所有安全功能都使用它
[Authorize(Roles="admin1,admin2,admin3,superadmin,hyperadmin,backdoor")],并将角色列表保存在某个位置(在AdminRolesAttribute 定义内),仅此而已
SuperAdmins 的角色,其中包括来自角色Admin1、Admin2 等的所有用户。并使用Authorize(Roles="SuperAdmins")]。该代码属于IAuthorizationService,而不属于多个授权属性。