6

我无法让Authorize属性与角色一起使用。这就是我装饰控制器的方式:

[Authorize(Roles = "admin")]
public ActionResult Index()
{
    ...
}

这就是我登录用户的方式:

string roles = "admin";
FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
    1,
    username,
    DateTime.Now,
    DateTime.Now.AddMinutes(30),
    false,
    roles
);
var cookie = new HttpCookie(FormsAuthentication.FormsCookieName, FormsAuthentication.Encrypt(authTicket));
HttpContext.Current.Response.Cookies.Add(cookie);

但是我的用户仍然被拒绝访问。我哪里错了?

4

1 回答 1

8

我偶然发现了一个类似的代码示例:MVC 的最高投票答案 - 如何存储/分配经过身份验证的用户的角色

AuthorizeAttribute 调用存储在HttpContext.User中的IPrincipal实例的IsInRole方法。默认情况下,IPrincipal 没有角色,在这种情况下 IsInRole 将始终返回 false。这就是拒绝访问您的操作的原因。

由于您已将用户角色存储到FormsAuthenticationTicket 的 UserData 属性中,因此您必须自己将角色从 auth cookie 中提取到 IPrincipal 实例中。MVC的最高投票答案- 如何存储/分配经过身份验证的用户的角色提供了您可以直接添加到 global.asax.cs 文件中的代码来执行此操作。我在下面重复了一遍:

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
    HttpCookie authCookie = Context.Request.Cookies[FormsAuthentication.FormsCookieName];
    if (authCookie != null)
    {
      FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);
      string[] roles = authTicket.UserData.Split(',');
      GenericPrincipal userPrincipal = new GenericPrincipal(new GenericIdentity(authTicket.Name), roles);
      Context.User = userPrincipal;
    }
}
于 2013-09-15T05:05:18.513 回答