0

我有一个带有 FluentSecurity 的 ASP.NET MVC 页面。根据本文,我使用 Ninject 进行了设置。我有一个DenyAnonymousAccessPolicyViolationHandler效果很好。我添加了一个RequireRolePolicyViolationHandler.

在我的设置中,我有

configuration.For<SettingsController>().RequireRole(CMSRoles.Admin);

如果我SettingsController使用没有所需角色的用户导航到 ,RequireRolePolicyViolationHandler则不会调用 。相反,我被重定向到 .log 中定义的登录页面web.config

我错过了什么吗?根据 FluentSecurity 文档,它应该可以工作。

编辑:我注册了一个自定义 RoleProvider,并将其与 FluentSecurity 一起使用:

configuration.GetAuthenticationStatusFrom(() => HttpContext.Current.User.Identity.IsAuthenticated);
configuration.GetRolesFrom(() => Roles.GetRolesForUser(HttpContext.Current.User.Identity.Name));

编辑:我创建了一个最小的示例应用程序:https ://dl.dropboxusercontent.com/u/73642/MvcApplication1.zip 。如果您转到 /Logged ,您将被重定向到登录页面,因此可以DenyAnonymousAccessPolicyViolationHandler正常工作。您可以使用任何您想要的用户名和密码登录。转到Settings,您会看到您被重定向到登录页面而不是RequireRolePolicyViolationHandler被执行。

4

1 回答 1

0

以下是我的设置方法,希望对您有所帮助:

在 App_Start/NinjectWebCommon.cs 我绑定策略处理程序:

kernel.Bind<IPolicyViolationHandler>().To<DenyAnonymousAccessPolicyViolationHandler>();
kernel.Bind<IPolicyViolationHandler>().To<RequireRolePolicyViolationHandler>();

我还像这样配置 Fluent Security(使用 Ninject 服务定位器):

var locator = new NinjectServiceLocator(kernel);
ServiceLocator.SetLocatorProvider(() => locator);

SecurityConfigurator.Configure(
            configuration =>
            {
                configuration.GetAuthenticationStatusFrom(() => HttpContext.Current.User.Identity.IsAuthenticated);
                configuration.GetRolesFrom(SecurityHelpers.UserRoles);

                //HomeController and other configurations
                configuration.For<HomeController>().Ignore();

                configuration.ResolveServicesUsing(ServiceLocator.Current.GetAllInstances);
             }
             );
GlobalFilters.Filters.Add(new HandleSecurityAttribute(), 0);

然后对于每个策略,我都有一个 IPolicyViolationHandler 的实现

public class RequireRolePolicyViolationHandler : IPolicyViolationHandler
{
    public ActionResult Handle(PolicyViolationException exception)
    {
        //Make sure you're redirecting to the desired page here. You should put a stop here to debug it and see if it's being hit. 
        return new HttpUnauthorizedResult(exception.Message);
    }
}

我有一个使用自定义成员/角色提供者和 Fluent Security 的有效解决方案。我发布了我认为是核心配置的内容。希望这可以帮助。

编辑:添加了如何获取角色。

public static class SecurityHelpers
{
    public static IEnumerable<object> UserRoles()
    {
        var currentUser = HttpContext.Current.User.Identity.Name;
        var roles = Roles.Providers["MemberAccountRoleProvider"]; //Custom Role Provider Name
        return currentUser != null ? roles.GetRolesForUser(currentUser).Cast<object>().ToArray() : null;

    }
}

编辑 2:我查看了您的代码,它工作正常。将此添加到您的代码中,以便您可以重定向到您想要的位置。现在你只是返回一个 Http 结果:

public class RequireRolePolicyViolationHandler : IPolicyViolationHandler
{
    public ActionResult Handle(PolicyViolationException exception)
    {
        //return new HttpUnauthorizedResult(exception.Message);
        return
            new RedirectToRouteResult(
                new RouteValueDictionary(new { action = "Test", controller = "Account"})); //Created a view for testing
    }
}

当我尝试获取设置页面时,我点击了 RequireRolePolicyViolationHandler。 设置页面 调试器

于 2013-07-09T15:34:50.267 回答