35

我有我的行动方法

[Authorize(Roles="Admin")]
public ActionResult EditPosts(int id)
{
    return View();
}

在我的情况下,我需要授权管理员以便他们可以编辑帖子,但是(这是很酷的部分),我还需要允许帖子的创建者能够编辑作为普通用户的帖子。那么如何过滤掉创建帖子的用户以及管理员,但让其他人未经授权?我收到 PostEntry id 作为路由参数,但这是在属性之后,并且属性只接受常量参数,看起来非常困难,非常感谢您的回答,干杯!

4

2 回答 2

72

您可以编写自定义授权属性:

public class AuthorizeAdminOrOwnerOfPostAttribute : AuthorizeAttribute
{
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var authorized = base.AuthorizeCore(httpContext);
        if (!authorized)
        {
            // The user is not authenticated
            return false;
        }

        var user = httpContext.User;
        if (user.IsInRole("Admin"))
        {
            // Administrator => let him in
            return true;
        }

        var rd = httpContext.Request.RequestContext.RouteData;
        var id = rd.Values["id"] as string;
        if (string.IsNullOrEmpty(id))
        {
            // No id was specified => we do not allow access
            return false;
        }

        return IsOwnerOfPost(user.Identity.Name, id);
    }

    private bool IsOwnerOfPost(string username, string postId)
    {
        // TODO: you know what to do here
        throw new NotImplementedException();
    }
}

然后用它装饰你的控制器动作:

[AuthorizeAdminOrOwnerOfPost]
public ActionResult EditPosts(int id)
{
    return View();
}
于 2012-07-15T17:30:43.130 回答
9

我知道您已经接受了一个答案,并且这是不久前发布的..(顺便说一句:添加自定义属性的优秀答案),但是我要指出以下几点:

如果您使用此属性一次。在单一方法上。这不是一个好的实现。相反,您应该拥有:

[Authorize]   // Just make sure they are auth'ed at all.
public ActionResult EditPosts(int id)
{
    Post SomePost = findPostByID (id);   // However you do it - single lookup of post

    if (!user.IsInRole("Admin") &&  !{IsOwnerOfPost(post)} )  Return Not Authorized

  ... Edit post code here
}

这具有以下优点:

  1. 没有其他类,以后有人会想知道它在哪里使用。
  2. 没有不能在其他任何地方使用的类(您不会通过自定义属性获得重用)
  3. 性能更好:单次获取 Post
  4. 让某人更容易阅读/弄清楚它是如何工作的。没有神奇的代码可以追踪。
  5. 多年后,当 HttpContextBase 类不存在,或者用于获取 Id 参数的技巧的其他部分消失时,代码仍然有效......
于 2018-08-08T20:45:35.643 回答