Wie beschränke ich den Zugriff auf bestimmte Seiten im ASP.NET MVC?

Möchte ich sperren den Zugriff auf einen Benutzer - Seite BEARBEITEN (zB. /Benutzer/rein.krome/Bearbeiten), wenn

a) Identität.IsAuthenticated = false

werden, oder Sie werden authentifiziert, aber

b) Idenitity.Name != Benutzer-name des Benutzer-Seite, die Sie versuchen zu Bearbeiten
c) Identität.UserType() != UserType.Administrator //Das ist wie eine Rolle, ohne RoleProviders.

Ich gehe davon aus, dass u können schmücken einen controller oder eine controller-action Methode mit etwas(s), aber ich bin mir gerade nicht sicher, was?

InformationsquelleAutor Pure.Krome | 2009-06-03

  2. 3

    Ein benutzerdefiniertes Attribut, abgeleitet aus AuthorizeAttribute ist, was ich verwenden, um dies zu tun. Überschreiben Sie die OnAuthorize - Methode und implementieren Sie Ihre eigene Logik.

    public class OnlyUserAuthorizedAttribute : AuthorizeAttribute
{
    public override void OnAuthorize( AuthorizationContext filterContext )
    {
        if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
        {
            filterContext.Result = new HttpUnauthorizeResult();
        }
        ...
    }
}
    Interessant ... aber ... ich weiß, ich brauche zu ersetzen, meine eigene Logik, über Ihre. Aber dein code nur die Antwort aus Teil (a). Ich kann auch prüfen, ob (c). Aber ich habe keine Ahnung, wie der code, der wissen könnte, was Sie prüfen (b). Ich habe die Identität.Name ... aber wie funktioniert dieses Attribut - an diesem Punkt der Zeit - wissen, was die Ansicht der Daten ist? oder irgendwelche Daten, die in der action-Methode (die ich nehme an, der bisher nicht ausgeführt, doch .. da Attribute behandelt erhalten erste.
    Die AuthorizationContext parameter enthält Verweise auf die Controller, HttpContext, ResultContext, RouteData und Ergebnis. Sie sollten in der Lage sein zu Holen alles, was Sie benötigen, aus der RouteData. Zu verallgemeinern, fügen eine Eigenschaft, um Ihre Attribut erlaubt Ihnen die Angabe der route-Daten-Schlüssel zu verwenden, für den Namen des Benutzers. Sie haben zu tun, die die DB Sachen zu überprüfen, die Nutzer-Typ unabhängig. Möglicherweise möchten Sie zwei Konstruktoren: einen, der Ihre Datenbank-Kontext/Ebene Oberfläche und eine andere, die nimmt keine Parameter und erstellt die Standard-Datenbank-Kontext/Ebene. Nutzen der ehemaligen in unit-Tests.

    InformationsquelleAutor tvanfosson

  3. 2

    Ich implementiert die folgenden ActionFilterAttribute und es funktioniert, um die Authentifizierung und Rollen. Ich bin die Speicherung Rollen in meiner eigenen DB-Tabellen wie diese:

    • Benutzer
    • UserRole (enthält UserID und RoleID Fremdschlüssel)
    • Rolle
    public class CheckRoleAttribute : ActionFilterAttribute
{
    public string[] AllowedRoles { get; set; }


    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        string userName = filterContext.HttpContext.User.Identity.Name;

        if (filterContext.HttpContext.User.Identity.IsAuthenticated)
        {
            if (AllowedRoles.Count() > 0)
            {
                IUserRepository userRepository = new UserRepository();
                User user = userRepository.GetUser(userName);
                bool userAuthorized = false;
                foreach (Role userRole in user.Roles)
                {
                    userAuthorized = false;
                    foreach (string allowedRole in AllowedRoles)
                    {
                        if (userRole.Name == allowedRole)
                        {
                            userAuthorized = true;
                            break;
                        }
                    }
                }
                if (userAuthorized == false)
                {
                    filterContext.HttpContext.Response.Redirect("/Account/AccessViolation", true);
                }
            }
            else
            {
                filterContext.HttpContext.Response.Redirect("/Account/AccessViolation", true);
            }
        }
        else
        {
            filterContext.HttpContext.Response.Redirect(FormsAuthentication.LoginUrl + String.Format("?ReturnUrl={0}", filterContext.HttpContext.Request.Url.AbsolutePath), true);
        }


    }

    Ich nenne das so...

        [CheckRole(AllowedRoles = new string[] { "admin" })]
    public ActionResult Delete(int id)
    {
        //delete logic here
    }
    In meiner ersten Zeile, die ich oben sagen wollte "Authentifizierung und-Rollen"
    Mikerennick, tun Sie keine Zwischenspeicherung der Benutzer oder Rollen?
    Ich bin nicht mit Zwischenspeichern-aber ich sehe keinen Grund, warum die Liste der Rollen, die einem Benutzer zugewiesen konnte nicht zwischengespeichert werden. Könnten Sie den cache aktualisieren, wenn änderungen vorgenommen werden Rollen zugewiesen. Der obige code hat keinen Einfluss auf die Zwischenspeicherung von Benutzern, wie ich bin lediglich auf der Suche auf httpcontext für den aktuellen Benutzer. Ich sollte auch erwähnen, dass das hinzufügen einer check für Benutzer ist im Prinzip die gleiche wie die überprüfung für zulässig Rollen.

    InformationsquelleAutor mikerennick

Schreibe einen Kommentar