我希望锁定对用户编辑页面(例如/user/pure.krome/edit)的访问,如果
a) Identity.IsAuthenticated = false
或者他们已经过身份验证但是
b) Idenitity.Name != 他们尝试编辑的用户页面的用户名
c) Identity.UserType() != UserType.Administrator // 这就像一个角色,不使用 RoleProviders。
我假设你可以用一些东西来装饰控制器或控制器的操作方法,但我只是不确定是什么?
问问题
14359 次
3 回答
3
看看AuthorizeAttribute。
于 2009-06-03T13:51:34.287 回答
3
我使用从AuthorizeAttribute派生的自定义属性来执行此操作。覆盖OnAuthorize方法并实现您自己的逻辑。
public class OnlyUserAuthorizedAttribute : AuthorizeAttribute
{
public override void OnAuthorize( AuthorizationContext filterContext )
{
if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
{
filterContext.Result = new HttpUnauthorizeResult();
}
...
}
}
于 2009-06-03T13:53:24.720 回答
2
我实现了以下 ActionFilterAttribute ,它可以处理身份验证和角色。我将角色存储在我自己的数据库表中,如下所示:
- 用户
- UserRole(包含 UserID 和 RoleID 外键)
- 角色
public class CheckRoleAttribute : ActionFilterAttribute
{
public string[] AllowedRoles { get; set; }
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
string userName = filterContext.HttpContext.User.Identity.Name;
if (filterContext.HttpContext.User.Identity.IsAuthenticated)
{
if (AllowedRoles.Count() > 0)
{
IUserRepository userRepository = new UserRepository();
User user = userRepository.GetUser(userName);
bool userAuthorized = false;
foreach (Role userRole in user.Roles)
{
userAuthorized = false;
foreach (string allowedRole in AllowedRoles)
{
if (userRole.Name == allowedRole)
{
userAuthorized = true;
break;
}
}
}
if (userAuthorized == false)
{
filterContext.HttpContext.Response.Redirect("/Account/AccessViolation", true);
}
}
else
{
filterContext.HttpContext.Response.Redirect("/Account/AccessViolation", true);
}
}
else
{
filterContext.HttpContext.Response.Redirect(FormsAuthentication.LoginUrl + String.Format("?ReturnUrl={0}", filterContext.HttpContext.Request.Url.AbsolutePath), true);
}
}
我这样称呼...
[CheckRole(AllowedRoles = new string[] { "admin" })]
public ActionResult Delete(int id)
{
//delete logic here
}
于 2009-06-04T14:48:56.263 回答