Wie die Umsetzung Berechtigungsprüfungen in ASP.NET MVC basiert auf Session-Daten?

Das wird meine erste ASP.NET MVC-Anwendung mit Formularen-Authentifizierung so versuche ich sicherzustellen, dass ich nichts verpasse. Das Szenario ist dies: Public /Gesicherten Bereichen.

Im privaten Bereich ist es sogar noch weiter eingeschränkt auf bestimmte Bereiche /Benutzer. Diese 'Bereiche' definiert werden, indem Sie Anpassungen an der Basis-Bereich, der für jeden Benutzer angepasst Gruppe.

So zum Beispiel ein Benutzer konnte sich zu url /Area/Controller/Action. Müssten Sie die Erlaubnis haben, in den gesicherten Bereich oder würden Sie umgeleitet werden, um die Anmelde-Ansicht.

Habe ich gelesen, über die AuthorizeAttribute aber ich bin mir nicht sicher wie/wo ich tun sollte, diese grundlegenden Prüfungen. Meine erste Vermutung wäre, zum speichern einer Benutzer-Objekt in der session nach einer erfolgreichen Anmeldung mit der Benutzer-und IP-details über das, was Sie Zugriff haben etc.

Die Berechtigungsprüfung für jedes geschützte controller-Aufruf überprüfen, ob eine gültige user-Objekt in der Mappe vorhanden, die IPs noch übereinstimmen, und der Benutzer hat Zugriff auf den bestimmten Bereich. Gibt es irgendwelche offensichtlichen Löcher zu diesem setup?

Edit: Wo/wie implementiere ich diese überprüft, so dass, wenn ein controller ist markiert mit [Autorisieren] es wird die Durchführung dieser session-Objekt überprüft?

Irgendwelche Hinweise oder Anregungen wäre sehr geschätzt werden. Danke.

InformationsquelleAutor Kelsey | 2009-07-20
  1. 11

    Gut wie es aussieht ging ich mit einer custom AuthorizeAttribute. Es war eigentlich sehr einfach. Hier ist der code:

    namespace MyApp.Custom.Security
{
    public class Secure : AuthorizeAttribute
    {
        ///<summary>
        ///Checks to see if the user is authenticated and has a valid session object
        ///</summary>        
        ///<param name="httpContext"></param>
        ///<returns></returns>
        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            if (httpContext == null) throw new ArgumentNullException("httpContext");

            //Make sure the user is authenticated.
            if (httpContext.User.Identity.IsAuthenticated == false) return false;

            //This will check my session variable and a few other things.
            return Helpers.SecurityHelper.IsSignedIn();
        }
    }
}

    Dann auf meinem Controller ich nur noch [Secure] Attribut, und er nutzt meine Funktion oben jederzeit, dass die Steuerung zugegriffen wird. Ziemlich einfach. Ich habe auch einen [SecureByRole] Attribut wie gut, dass nicht alle die gleichen Sachen, aber überprüft, für meine eigene Rolle, die Informationen als gut. Keine Notwendigkeit, für alles, was gebaut in voodoo aus der Konserve Mitgliedschaft 🙂

    InformationsquelleAutor Kelsey
  2. 2

    Versuchen, den RoleProvider Klasse. Dies ist die basic-Rahmen wie ASP.net verwenden rolebased Autorisierung der Benutzer. Und ich glaube, Sie sollten [Autorisierung(Rollen='...')] Attribut zu machen.

    • Ich versuche zu bleiben Weg von die gebackene Rolle in Lösung, wenn möglich. Nicht sicher, wie customizeable ist.
    • nope.. der roleprovider ist die Basisklasse, die Sie sollten/könnten implementieren Ihre eigenen Anpassungen zu. Starten mit benutzerdefinierten Rolle der Autorisierung ist nur die Erweiterung der roleprovider Klasse, und ändern Sie die web.config-Datei benachrichtigt wird.
    InformationsquelleAutor xandy
  3. 1

    In meinem vorherigen Anwendung, die ich verwendet ein einfaches HttpModule zu ergänzen, die der authentifizierte Benutzer mit zusätzlichen Rollen usw. ( ich Tat dies, weil meine Anforderungen waren sehr beschränkt ).

    public class AuthorisationModule : IHttpModule
{
    public void Init( HttpApplication context )
    {
        context.AuthorizeRequest += AuthorizeRequest;
    }

    private void AuthorizeRequest(object sender, EventArgs e)
    {
        var currentUser = HttpContext.Current.User;
        if( !currentUser.IsAuthenticated() )
        {
            return;
        }

        var roles = new List<string>();
        //Add roles here using whatever logic is required

        var principal = new GenericPrincipal( currentUser.Identity, roles.ToArray() );
        HttpContext.Current.User = principal;
    }

    public void Dispose()
    {
        if(HttpContext.Current == null )
        {
            return;
        }

        if(HttpContext.Current.ApplicationInstance == null)
        {
            return;
        }

        HttpContext.Current.ApplicationInstance.AuthorizeRequest -= AuthorizeRequest;
    }
}
    InformationsquelleAutor Neal
  4. 1
    [Authorize]
public class BaseController : Controller
{
    protected override void OnAuthorization(AuthorizationContext authContext)
    {
        if
            (
            !User.Identity.IsAuthenticated &&
            Request.LogonUserIdentity != null &&
            Request.LogonUserIdentity.IsAuthenticated
            )
        {
            var logonUserIdentity = Request.LogonUserIdentity.Name;
            if (!string.IsNullOrEmpty(logonUserIdentity))
            {
                if (logonUserIdentity.Contains("\\"))
                    logonUserIdentity = logonUserIdentity.Substring(logonUserIdentity.IndexOf("\\") + 1);

                var db = new UsersContext();
                var loginUser =
                    db.UserProfiles.FirstOrDefault(x => x.UserName == logonUserIdentity);

                //Auto-Login Windows Identity
                if (loginUser == null)
                    loginUser = CreateUser(db, logonUserIdentity);

                if (loginUser != null)
                {
                    FormsAuthentication.SetAuthCookie(loginUser.UserName, true);

                    string returnUrl = Request.RawUrl;
                    if (!string.IsNullOrEmpty(returnUrl))
                        Response.Redirect(returnUrl);
                    Response.Redirect("~/");

                }
            }
        }
    }

    private static UserProfile CreateUser(UsersContext db, string logonUserIdentity)
    {
        var user = new UserProfile {UserName = logonUserIdentity};
        db.UserProfiles.Add(user);
        db.SaveChanges();
        return user;
    }
}
    InformationsquelleAutor Tawani
Schreibe einen Kommentar