在我的应用程序中,一个角色有几个权限。我希望用户能够访问依赖于权限的操作,而不是角色。
所以假设:
我想做以下事情:我希望拥有 perm3 或 perm4 的人可以访问操作。这两个权限来自两个不同的角色。但是除了 perm3 Admin 有 perm1 和 perm2,拥有 perm3 的未成年人也可以访问此操作(不是必须是管理员或超级管理员)。
所以你明白我的意思吧?我想在 ASP.NET MVC 4 中实现这一点。所以我想我需要自己制作AuthorizeAttribute,我自己的,IIdentity并在 global.asax 中编写一些方法。在 ASP.NET 中还有一个 Membership 我需要触摸它吗?我不知道如何把所有的东西放在一起。谁能帮我吗?
public class PermissionAttribute : AuthorizeAttribute
{
private readonly IAccountService _accountService;
private readonly IEnumerable<PermissionEnum> _permissions;
public PermissionAttribute(params PermissionEnum[] permissions):
this(DependencyResolver.Current.GetService<IAccountService>())
{
_permissions = permissions;
}
protected PermissionAttribute(IAccountService accountService)
{
_accountService = accountService;
}
public override void OnAuthorization(AuthorizationContext filterContext)
{
if(!_permissions.Any(x=>_accountService.HasPermission(filterContext.HttpContext.User.Identity.Name,(int)x)))
filterContext.Result = new HttpStatusCodeResult(HttpStatusCode.Forbidden);
base.OnAuthorization(filterContext);
}
}
基本上,您必须创建自己的 AuthorizeAttribute,但使用 .NET 中的 IIdentity。您在此处描述的是基于声明的身份验证和授权系统。
很可能您将不得不从 ASP.NET 中丢弃 Membership 或仅使用其中的一部分。据我所知,它并没有考虑到索赔。
在 .NET 4.5 中,这些人添加了类:ClaimsPrincipal,它实现了接口 IPrincipal。此类可用于实现基于声明的自定义身份验证和授权。
因此,当用户通过身份验证时,您可以在线程上添加声明:
var id = new ClaimsIdentity(claims, "Dummy");
var principal = new ClaimsPrincipal(new[] { id });
Thread.CurrentPrincipal = principal;
然后稍后只需使用您在 Thread.CurrentPrincipal 上找到的声明。
在 ASP.NET MVC 中,您可以执行以下步骤:
创建一个对用户进行身份验证的委托处理程序。如果用户通过身份验证,则将声明添加到线程主体。理想情况下,这个委托处理程序应该尽可能位于链的顶端,以便您在执行链中的任何地方都可以使用声明。还要记住将 HttpContext.Current.User 设置为相同的主体
公共类 AuthHandler : DelegatingHandler{
protected override async Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
{
//authenticate user
//get claims
//create principal
var newPrincipal = CreatePrincipal(claims);
Thread.CurrentPrincipal = newPrincipal;
if (HttpContext.Current != null)
HttpContext.Current.User = newPrincipal;
return await base.SendAsync(request, cancellationToken);
}
}
创建一个过滤器,该过滤器根据添加到线程主体的声明进行授权。在这里,您可以执行一些操作,例如将当前路线与声明中的信息进行比较。
所以我认为你说的是:只有当用户有 perm1、perm2 时才可以访问 ActionA,类似地,当用户有 perm1 和 perm3 时可以访问 ActionB
我给出的代码是为了说明,我没有编译它。但是会给你我所说的方法的图片
第 1 步:您可以继续创建一个带有标志属性的权限枚举
第 2 步:根据存储在数据存储中的用户权限向当前委托人添加声明。
第 3 步:当调用 Action 时,授权访问索赔
[Flags]
enum PermType
{
None = 0x0,
Perm1 = 0x1,
perm2 = 0x2,
perm3 = 0x4,
perm4 = 0x8,
perm5 = 0x10
}
向 CurrentPrincipal 添加声明
var currentPrincipal = ClaimsPrincipal.Current;
var cms = currentPrincipal.Claims;
var permissions = PermType.Perm1 | PermType.perm2;
var claims = cms.ToList();
claims.Add(new Claim("Action1", permissions.ToString()));
claims.Add(new Claim("Action2", permissions.ToString()));
claims.Add(new Claim("Action3", permissions.ToString()));
System.Threading.Thread.CurrentPrincipal = new ClaimsPrincipal(new ClaimsIdentity(claims));
检查用户是否可以访问特定操作
public bool CanAccessThisAction(string acionName,PermType requiredPerms)
{
var claim = principal.Claims.FirstOrDefault(c => c.Type == acionName);
if (customPermissionClaim != null)
{
//check if required permission is present in claims for this user
//return true/false
}
return false;
}
行动上
public ActionResult TestAction(string id)
{
if(CanAccessThisAction("TestAction",PermType.Perm1|PermType.perm3|PermType.perm5))
{
//do your work here
}
else
{
//redirect user to some other page which says user is not authorized
}
}