带有权限代码的 ASP.NET MVC 4 自定义授权属性(无角色)

Posted

技术标签:

【中文标题】带有权限代码的 ASP.NET MVC 4 自定义授权属性(无角色)【英文标题】:ASP.NET MVC 4 Custom Authorize Attribute with Permission Codes (without roles) 【发布时间】:2012-10-27 04:48:57 【问题描述】:

我需要在我的 MVC 4 应用程序中根据用户权限级别(没有角色,只有分配给用户的 CRUD 操作级别的权限级别)来控制对视图的访问。

举个例子; AuthorizeUser 下面将是我的自定义属性,我需要像这样使用它:

[AuthorizeUser(AccessLevels="Read Invoice, Update Invoice")]
public ActionResult UpdateInvoice(int invoiceId)

   // some code...
   return View();



[AuthorizeUser(AccessLevels="Create Invoice")]
public ActionResult CreateNewInvoice()

  // some code...
  return View();



[AuthorizeUser(AccessLevels="Delete Invoice")]
public ActionResult DeleteInvoice(int invoiceId)

  // some code...
  return View();

这样可以吗?

【问题讨论】:

【参考方案1】:

我可以使用如下的自定义属性来做到这一点。

[AuthorizeUser(AccessLevel = "Create")]
public ActionResult CreateNewInvoice()

    //...
    return View();

自定义属性类如下。

public class AuthorizeUserAttribute : AuthorizeAttribute

    // Custom property
    public string AccessLevel  get; set; 

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    
        var isAuthorized = base.AuthorizeCore(httpContext);
        if (!isAuthorized)
                        
            return false;
        

        string privilegeLevels = string.Join("", GetUserRights(httpContext.User.Identity.Name.ToString())); // Call another method to get rights of the user from DB

        return privilegeLevels.Contains(this.AccessLevel);

您可以通过覆盖HandleUnauthorizedRequest 方法在您的自定义AuthorisationAttribute 中重定向未经授权的用户:

protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)

    filterContext.Result = new RedirectToRouteResult(
                new RouteValueDictionary(
                    new
                         
                            controller = "Error", 
                            action = "Unauthorised" 
                        )
                );

【讨论】:

我已经尝试过您的 HandleUnauthorizedRequest 示例,但是当我指定 RouteValueDictionary 时,它只是将一个不存在的路由重定向到我。它将我想要重定向用户的路由附加到用户想要访问的路由......我得到类似: localhost:9999/admin/Home 当我想要 localhost:9999/Home @Marin 尝试在 RouteValueDictionary 中添加 area = string.Empty 我在投票,但最后我看到“if (condition) return true; else return false; ”...... @Emil 我只是简单地返回 String.Contains 方法给我的布尔值。但这无关紧要,我没有投反对票,我只是没有投赞成票,呵呵。 .Name.ToString() 是多余的,因为Name 属性已经是字符串【参考方案2】:

这是对上一个的修改。回答。主要区别在于用户未通过身份验证时,它使用原始的“HandleUnauthorizedRequest”方法重定向到登录页面:

   protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    

        if (filterContext.HttpContext.User.Identity.IsAuthenticated) 

            filterContext.Result = new RedirectToRouteResult(
                        new RouteValueDictionary(
                            new
                            
                                controller = "Account",
                                action = "Unauthorised"
                            )
                        );
        
        else
        
             base.HandleUnauthorizedRequest(filterContext);

【讨论】:

【参考方案3】:

也许这对将来的任何人都有用,我已经实现了这样的自定义授权属性:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class ClaimAuthorizeAttribute : AuthorizeAttribute, IAuthorizationFilter

    private readonly string _claim;

    public ClaimAuthorizeAttribute(string Claim)
    
        _claim = Claim;
    

    public void OnAuthorization(AuthorizationFilterContext context)
    
        var user = context.HttpContext.User;
        if(user.Identity.IsAuthenticated && user.HasClaim(ClaimTypes.Name, _claim))
        
            return;
        

        context.Result = new ForbidResult();

【讨论】:

【参考方案4】:

如果您将 WEB API 与 Claims 一起使用,则可以这样使用:

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited = true, AllowMultiple = true)]
public class AutorizeCompanyAttribute:  AuthorizationFilterAttribute

    public string Company  get; set; 

    public override void OnAuthorization(HttpActionContext actionContext)
    
        var claims = ((ClaimsIdentity)Thread.CurrentPrincipal.Identity);
        var claim = claims.Claims.Where(x => x.Type == "Company").FirstOrDefault();

        string privilegeLevels = string.Join("", claim.Value);        

        if (privilegeLevels.Contains(this.Company)==false)
        
            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized, "Usuario de Empresa No Autorizado");
        
    

[HttpGet]
[AutorizeCompany(Company = "MyCompany")]
[Authorize(Roles ="SuperAdmin")]
public IEnumerable MyAction()
....

【讨论】:

以上是关于带有权限代码的 ASP.NET MVC 4 自定义授权属性(无角色)的主要内容,如果未能解决你的问题,请参考以下文章

ASP.Net MVC 2 中自定义成员资格提供程序中的角色分组

asp.net mvc 中怎么像webform一样自定义一个BaseController实现判断用户是不是登录 然后获取用户的权限

自定义验证属性中的客户端验证 - asp.net mvc 4

如何使自定义错误页面在 ASP.NET MVC 4 中工作

ASP.NET MVC:通过 DataAnnotation 进行自定义验证

ASP.NET MVC 4 验证后自定义 jQuery 脚本无法正常工作