20

我有一个名为的控制器方法Edit,用户可以在其中编辑他们创建的数据,就像这样......

public ActionResult Edit(int id)
{
    Submission submission = unit.SubmissionRepository.GetByID(id);
    User user = unit.UserRepository.GetByUsername(User.Identity.Name);

    //Make sure the submission belongs to the user
    if (submission.UserID != user.UserID)
    {
        throw new SecurityException("Unauthorized access!");
    }

    //Carry out method
}

这个方法工作得很好,但是把每个控制器的 Edit 方法都放进去有点乱。每个表总是有一个UserID所以我想知道是否有一种更简单的方法可以通过[Authorize]属性或其他一些机制来使代码更清晰。

4

4 回答 4

31

是的,您可以通过自定义 Authorize 属性来实现:

public class MyAuthorizeAttribute : AuthorizeAttribute
{
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var authorized = base.AuthorizeCore(httpContext);
        if (!authorized)
        {
            return false;
        }

        var rd = httpContext.Request.RequestContext.RouteData;

        var id = rd.Values["id"];
        var userName = httpContext.User.Identity.Name;

        Submission submission = unit.SubmissionRepository.GetByID(id);
        User user = unit.UserRepository.GetByUsername(userName);

        return submission.UserID == user.UserID;
    }
}

接着:

[MyAuthorize]
public ActionResult Edit(int id)
{
    // Carry out method
}

假设您需要将我们提取到自定义属性中的提交实例作为操作参数提供,以避免再次访问数据库,您可以执行以下操作:

public class MyAuthorizeAttribute : AuthorizeAttribute
{
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var authorized = base.AuthorizeCore(httpContext);
        if (!authorized)
        {
            return false;
        }

        var rd = httpContext.Request.RequestContext.RouteData;

        var id = rd.Values["id"];
        var userName = httpContext.User.Identity.Name;

        Submission submission = unit.SubmissionRepository.GetByID(id);
        User user = unit.UserRepository.GetByUsername(userName);

        rd.Values["model"] = submission;

        return submission.UserID == user.UserID;
    }
}

接着:

[MyAuthorize]
public ActionResult Edit(Submission model)
{
    // Carry out method
}
于 2012-06-14T16:20:39.903 回答
2

我建议您将逻辑从动作/控制器中提取出来并构建一个域类来处理该逻辑。

操作方法实际上应该只处理从视图获取数据和向视图发送数据。您可以创建足够通用的东西来满足您的需求,但也将遵循单一责任主体。

public class AuthorizedToEdit 
{
     protected override bool AuthorizeCore(string user, int itemId)
     {
         var userName = httpContext.User.Identity.Name;

         var authUsers = SubmissionRepository.GetAuthoriedUsers(itemId);

         return authUsers.Contains(user);
     }
}

这也将使您以后可以灵活地允许管理员用户之类的东西

于 2012-06-14T16:44:10.917 回答
0 
@if (Request.IsAuthenticated && User.IsInRole("Student"))
    {
    @Html.ActionLink("Edit", "Edit", new { id = item.StdID })
    }

就我而言,登录用户是学生。所以我说如果登录请求经过身份验证,并且他的角色是学生,那么让他可以访问编辑链接。

下面这允许您让普通用户或管理员也执行编辑。

@if(Request.IsAuthenticated && User.IsInRole("Student") || 
User.IsInRole("Administrator"))
{
 @Html.ActionLink("Edit", "Edit", new { id = item.StdID })
}
于 2019-03-30T11:33:39.197 回答
-1

我建议阅读AuthorizeAttribute(见这里)。另外,你看过这个帖子吗?它讨论了如何覆盖身份验证属性内部以及如何使用 IPrincipal 和 IIdentity。

于 2012-06-14T16:22:34.083 回答