ASP.NET MVC 提供了保护控制器及其方法的可能性,方法是使用[Authorize(Roles = "Administrators, Content Editor")]
.
我想使用这种机制,但要检查权限而不是角色。这是一个更好的设计:一个用户有一个或多个角色,每个角色都有一个权限集。然后对权限进行安全检查,并且更容易添加具有特定权限的新角色。
我想使用标准的 SQL 角色提供程序。所以到目前为止我发现的唯一解决方案是使用微软提供的所有东西,但也可以使用普通的“角色”作为权限。然后我必须创建一个自定义表(和 UI)来处理真实角色(自定义表)和微软“角色”(而不是用作权限)之间的关联。
有没有更好的方法来做我需要的事情?
谢谢!