8

在我的 ASP.NET MVC 4 应用程序中,我使用 Intranet 模板来实现 Windows 身份验证。我也在使用 Fluent Security。

开箱即用,我可以使用下面显示的注释来限制对特定域组或域用户的控制器方法的访问。

[Authorize(Roles=@"Domain\GroupName")]
public ActionResult Index()
{
    ViewBag.Message = "Modify this template to jump-start your ASP.NET MVC application.";

    return View();
}

[Authorize(Users=@"Domain\UserName")]
public ActionResult About()
{
    ViewBag.Message = "Your app description page.";

    return View();
}

我如何将这两种方法限制为使用 Fluent Security 的同一域组和域用户?如果这更容易的话,我对这个组比对用户更感兴趣。我需要建立自定义策略吗?如果是这样,我不太确定如何检查经过身份验证的用户是否在域组中以返回 Fluent Security 使用的正确角色?

我已经完成了 FluentSecurity 入门,所以我知道如何实现 FluentSecurity 的基础知识,我只是不确定如何使用域组作为角色。

谢谢!

4

1 回答 1

3

我可能已经找到了一种将域组用于角色的方法。我已经调整了 Fluent Security Getting Started 页面中的扩展示例。

在 Global.asax.cs 中:

SecurityConfigurator.Configure(configuration =>
{
    // Let Fluent Security know how to get the authentication status of the current user
    configuration.GetAuthenticationStatusFrom(() => HttpContext.Current.User.Identity.IsAuthenticated);

    // Let Fluent Security know how to get the roles for the current user
    configuration.GetRolesFrom(System.Web.Security.Roles.GetRolesForUser);

    // This is where you set up the policies you want Fluent Security to enforce
    configuration.For<HomeController>().Ignore();

    configuration.For<AccountController>().DenyAuthenticatedAccess();
    configuration.For<AccountController>(x => x.ChangePassword()).DenyAnonymousAccess();
    configuration.For<AccountController>(x => x.LogOff()).DenyAnonymousAccess();

    configuration.For<BlogController>(x => x.Index()).Ignore();
    configuration.For<BlogController>(x => x.AddPost()).RequireRole(@"Domain\Writers");
    configuration.For<BlogController>(x => x.AddComment()).DenyAnonymousAccess();
    configuration.For<BlogController>(x => x.DeleteComments()).RequireRole(@"Domain\Writers");
    configuration.For<BlogController>(x => x.PublishPosts()).RequireRole(@"Domain\Owners");

    // To authorize the Home Controller Index Action as in my original question
    configuration.For<HomeController>(c => c.Index()).RequireRole(@"Domain\GroupName");
});

GlobalFilters.Filters.Add(new HandleSecurityAttribute(), 0);

在 Web.config 中:

<authentication mode="Windows" />
<authorization>
  <deny users="?" />
</authorization>
<roleManager defaultProvider="WindowsProvider"
      enabled="true"
      cacheRolesInCookie="false">
  <providers>
    <add
      name="WindowsProvider"
      type="System.Web.Security.WindowsTokenRoleProvider" />
  </providers>
</roleManager>

我还没有找到授权单个用户的方法,但我们都知道使用组通常是最佳实践。

有没有更好的方法来做到这一点?

于 2012-11-16T13:50:26.430 回答