10

我正在为我的应用程序在 ASP.NET MVC 中使用基于权限的授权系统。为此,我创建了一个自定义授权属性

public class MyAuthorizationAttribute : AuthorizeAttribute
{
    string Roles {get; set;}
    string Permission {get; set;}
}

这样我就可以通过角色或带有注释的特定权限密钥来授权用户,以执行诸如

public class UserController : Controller
{
    [MyAuthorization(Roles="ADMIN", Permissions="USER_ADD")]
    public ActionResult Add()

    [MyAuthorization(Roles="ADMIN", Permissions="USER_EDIT")]
    public ActionResult Edit()

    [MyAuthorization(Roles="ADMIN", Permissions="USER_DELETE")]
    public ActionResult Delete()
}

然后我用类似的逻辑(伪代码)覆盖 MyAuthorizationAttribute 类中的 AuthorizeCore() 方法

protected override bool AuthorizeCore(HttpContextBase httpContext)
{
    if(user not authenticated)
        return false;

    if(user has any role of Roles)
        return true;

    if(user has any permission of Permissions)
        return true;

    return false;
}

到目前为止工作正常。

现在我需要某种扩展方法,以便我可以在视图页面中动态生成操作 url,该操作 url 将基于给定操作的 MyAuthorization 属性授权逻辑返回操作 url。像

@Url.MyAuthorizedAction("Add", "User")

如果用户具有管理员角色或具有“USER_ADD”权限(在操作的属性中定义),则将 url 返回到“用户/添加”,否则返回空字符串。

但是在网上搜索了几天后,我无法弄清楚。:(

到目前为止,我只找到了这个“安全意识”操作链接?它通过执行操作的所有操作过滤器来工作,直到它失败。

这很好,但我认为每次调用 MyAuthorizedAction() 方法时执行所有操作过滤器都会产生开销。此外它也不适用于我的版本(MVC 4 和 .NET 4.5)

我所需要的只是检查经过身份验证的用户的角色、权限(将存储在会话中)与授权角色和给定操作的权限。如下所示(伪代码)

MyAuthorizedAction(string actionName, string controllerName)
{
    ActionObject action = SomeUnknownClass.getAction(actionName, controllerName)
    MyAuthorizationAttribute attr = action.returnsAnnationAttributes()

    if(user roles contains any in attr.Roles 
       or 
       user permissions contains any attr.Permissions)
    {
        return url to action
    }
    return empty string
}

我一直在寻找获取动作属性值的解决方案,根本找不到足够好的资源。我错过了正确的关键字吗?:/

如果有人可以为我提供真正有很大帮助的解决方案。提前感谢您的解决方案

4

3 回答 3

16

虽然我同意根据权限生成 url 可能不是最佳实践,但如果您想继续,您可以使用以下方法找到操作及其属性:

检索“操作”方法: 这会检索方法信息的集合,因为可能有多个具有相同名称的控制器类和多个具有相同名称的方法,特别是在使用区域时。如果你不得不担心这个,我会把歧义留给你。

public static IEnumerable<MethodInfo> GetActions(string controller, string action)
{
    return Assembly.GetExecutingAssembly().GetTypes()
           .Where(t =>(t.Name == controller && typeof(Controller).IsAssignableFrom(t)))
           .SelectMany(
                type =>
                type.GetMethods(BindingFlags.Public | BindingFlags.Instance)
                    .Where(a => a.Name == action && a.ReturnType == typeof(ActionResult))
             );

}

从 MyAuthorizationAttributes 检索权限: 

public static MyAuthorizations GetMyAuthorizations(IEnumerable<MethodInfo> actions)
{
    var myAuthorization = new MyAuthorizations();
    foreach (var methodInfo in actions)
    {
        var authorizationAttributes =  methodInfo
                .GetCustomAttributes(typeof (MyAuthorizationAttribute), false)
                .Cast<MyAuthorizationAttribute>();
        foreach (var myAuthorizationAttribute in authorizationAttributes)
        {
            myAuthorization.Roles.Add(MyAuthorizationAttribute.Role);
            myAuthorization.Permissions.Add(MyAuthorizationAttribute.Permission);
        }
    }
    return myAuthorization;
}
public class MyAuthorizations
{
    public MyAuthorizations()
    {
        Roles = new List<string>();
        Permissions = new List<string>();
    }
    public List<string> Roles { get; set; }
    public List<string> Permissions { get; set; }
}

最后是 AuthorizedAction 扩展: 警告:如果您对给定的控制器/动作对确实有多个匹配项,如果用户被授权使用其中任何一个,这将给出“授权”网址......

public static string AuthorizedAction(this UrlHelper url, string controller, string action)
{
    var actions = GetActions(controller, action);
    var authorized = GetMyAuthorizations(actions);
    if(user.Roles.Any(userrole => authorized.Roles.Any(role => role == userrole)) ||
       user.Permissions.Any(userPermission => authorized.Permissions.Any(permission => permission == userPermission)))
    {
        return url.Action(controller,action)
    }
    return string.empty;
}

关于基于权限生成 URL 的注意事项:
我声明这可能不是最佳实践,因为有很多小事。根据您的情况,每个可能都有自己的相关性级别。

  • 给人的印象是试图通过默默无闻来实现安全。如果我不向他们显示 url,他们就不会知道它在那里。
  • 如果您已经在以其他方式检查权限以控制页面的呈现(看起来您正在根据您在其他地方的评论进行操作),那么明确不写出 url 是没有意义的。最好不要调用 Url.Action 方法。
  • 如果您尚未根据用户的权限控制页面的呈现,那么简单地为 url 返回空字符串会在您的页面上留下大量损坏或看似损坏的内容。嘿,当我按下这个按钮时,它什么也没做!
  • 它可以使测试和调试变得更加复杂:是因为权限不对,url 没有显示,还是有另一个错误?
  • AuthorizedAction 方法的行为似乎不一致。有时返回一个 url,有时返回一个空字符串。

通过动作授权属性控制页面渲染: 将方法修改AuthorizedAction为 a boolean,然后使用其结果来控制页面渲染。

public static bool AuthorizedAction(this HtmlHelper helper, string controller, string action)
{
    var actions = GetActions(controller, action);
    var authorized = GetMyAuthorizations(actions);
    return user.Roles.Any(userrole => authorized.Roles.Any(role => role == userrole)) ||
       user.Permissions.Any(userPermission => authorized.Permissions.Any(permission => permission == userPermission))
}

然后在您的剃须刀页面中使用它。 

@if(Html.AuthorizedAction("User","Add")){
   <div id='add-user-section'>
        If you see this, you have permission to add a user.
        <form id='add-user-form' submit='@Url.Action("User","Add")'>
             etc
        </form>
   </div>
}
else {
  <some other content/>

}
于 2012-11-02T20:57:49.007 回答
2

我认为每次要使用 Url.Action() 创建 url 时都不应该检查操作注释。如果该操作使用自定义授权过滤器进行保护,它将不会为非特权用户执行,那么隐藏该操作的 URL 有什么意义呢?相反,您可以在 HtmlHelper 上实现扩展方法来检查当前用户是否具有给定的权限,例如:

public static bool HasPermission(this HtmlHelper helper, params Permission[] perms)
{
    if (current user session has any permission from perms collection)
    {
        return true;
    }
    else
    {
        return false;
    }
}

然后,您可以使用视图中的帮助程序来隐藏当前用户无法访问的按钮和链接,例如:

@if (Html.HasPermission(Permission.CreateItem))
{
    <a href="@Url.Action("Items", "Create")">Create item</a>
}

当然,隐藏特定链接仅用于 UI 目的 - 访问的真正控制是由自定义授权属性完成的。

于 2012-11-02T19:50:30.463 回答
0

我唯一的建议是写一个扩展方法,IPrincipal而不是看起来像

public static bool HasRolesAndPermissions(this IPrincipal instance,
    string roles,
    string permissions,)
{
  if(user not authenticated)
    return false;

  if(user has any role of Roles)
    return true;

  if(user has any permission of Permissions)
    return true;

return false;
}

然后视图/部分中的代码在实际执行的操作方面更具可读性(不使用 html 执行任何操作,而是验证用户),然后视图/部分中的代码看起来像

@if (User.HasRolesAndPermissions(roles, permissions)) 
{ 
   @Html.ActionLink(..);
}

每个 MVC 页面都有当前用户的属性WebViewPage.User

您有针对性的解决方案(以及指向安全意识链接的链接)的问题在于,链接的创建和控制器上的授权可能不同(在我看来,以这种方式混合职责是不好的做法)。通过扩展IPrincipal新的授权将如下所示:

protected override bool AuthorizeCore(HttpContextBase httpContext)
{
  return user.HasRolesAndPermissions(roles, permissions)
}

现在您的授权属性和视图都使用相同的角色/权限数据逻辑。

于 2012-11-02T20:11:38.883 回答