asp.net-mvc-3 - 控制器和操作的集中授权 (ASP.NET MVC 3)

Question

在自定义 AuthorizeAttibute（全局注册）中，是否存在任何可能的安全问题或陷阱，基于控制器类型和被调用的操作应用授权？

例如（不是真正的代码）

string controllerFullName=_filterContext.ActionDescriptor.ControllerDescriptor.ControllerType.FullName;

string minRequiredRole = GetControllerMinRequiredRole(controllerFullName);

if(User.MeetsRoleRequirement(minRequiredRole))
{
     //give access
}
else
{
    //no you're not allowed
}

score 1 · Accepted Answer

主要问题是授权缓存 - 所以有一些事情需要知道。查看我在这里发布的链接：

创建 AuthorizeAttribute - 我需要知道什么？

查看现有属性的代码以及它如何处理缓存，以确保您不会导致基本属性阻止的相同问题。

asp.net-mvc-3 - 控制器和操作的集中授权 (ASP.NET MVC 3)

1 回答 1

Related

Reference