问题标签 [role-base-authorization]

我已经在 .Net core 1.1 中实现了基于 JWT 不记名令牌的身份验证和授权。我还实现了用于登录和注册的用户管理器。我使用以下代码将用户密码与 PasswordHash 匹配。

我在基于角色的授权中遇到问题。当我使用用户（用户类型角色）生成 JWT 令牌时，它工作正常并且只能访问 [Authorize(Roles = "User")] 属性方法或操作。但是当我使用 [Authorize(Roles = "Administrator")] 属性时，它同时由用户和管理员角色类型访问。下面的示例代码：

我正在C# MVC使用实体框架进行项目。我正在尝试获得基于角色的身份验证。

我有三个表作为Roles,PermissionFunction和Permission。

角色：

权限函数

权限

这些只是样本数据。

我需要在用户登录时检查用户的角色，并据此仅授予对允许页面的访问权限。

我有一个视图，管理员可以从中更改权限详细信息。

权限函数表functionname只是一些字符串，我需要使用它来授予或停止对相应操作的访问权限。

我搜索并没有发现任何东西，我对这类东西不熟悉，请建议我一个更好的方法来实现这一点。

提前致谢。

我正在尝试保存视图以进行计数。它仅在经过身份验证的用户访问此页面时保存记录。当未经身份验证的用户访问此功能时，保存失败。

这是场景

系统有两个主要用户，SYSTEM USER 和 END USER。最终用户进一步分为两个用户，分别名为 CLIENT USER 和 INTERNET USER，客户端用户与数据库可访问帐户相关联，而 Internet 用户则没有。

所有用户都被划分为不同的ROLES，每个角色都关联着一组可访问的MODULE，不同的模块包含不同的FUNCTIONS，如查看、添加、编辑和删除功能。

不同的角色可能与模块中的不同功能相关联。示例超级管理员角色可以访问并在用户访问模块中添加编辑删除功能，而高级用户只能访问或查看它。

当用户登录时，安全服务将使用用户名和密码对用户进行身份验证。如果它通过了身份验证，它将查找与用户关联的角色并在屏幕上显示授予的模块供用户选择访问。

我创建了一个简单的类图，其中包含每个类的字段或属性，我只是不确定它是否正确，例如实现的连接器或关系、基数和每个类的方法，我只输入了一个类的方法和那是用于登录 (login()) 方法。

我目前正在开发一个 C# MVC 项目。我曾经CustomAuthorizationAttribute授权我项目中的每个用户。

我有 3 个角色：超级管理员、管理员和用户

创建新用户时，有一个添加相应角色的选项，并且可以编辑（具有“用户”角色的人不能添加或编辑用户）。

为了设置此身份验证，我分别创建了两个表“ PermissionFunction ”和“ Permission ”。表格详情如下：

权限功能：

权限：

PermFunc_ID和Perm_ID分别是表的主键。PermFunc_Name是引用所有控制器中每个操作的名称。Permission Table 包含Role和PermissionFunction表的外键。

这里是我的角色表供参考：

对于身份验证，我添加了一个类CustomAuthorizationAttribute并为每个控制器操作添加了授权属性。

例如，考虑我的PermissionFunction表值如下：

和我的HomeController：

和CustomAuthorizationAttribute类：

这工作正常。

这是我的索引html：

当CreateButton单击时，会出现一个模式弹出窗口，用于添加详细信息并创建新用户。

如果用户无权创建新用户，有什么办法可以隐藏创建新按钮。？（即：如果userCreate不在PermissionFunction表中）。

我浏览了谷歌上的一些链接。但一切都非常混乱。我是 MVC 的新手，所以我无法解决一些问题。

我正在使用 Angular 4 创建一个应用程序，我的超级管理员将在其中创建不同的角色并授予对不同功能（权限）的访问权限，因此这两件事都是动态的。

现在我只想显示用户根据他分配的角色拥有权限的功能，另一件事是我还想保护路由，这样用户就不会通过手动输入 URL 来访问该功能。

我已经检查了 ngx-permissions，我可以做到这两件事，但我需要有角色的默认名称（我的应用程序中没有）并且需要知道哪个用户有什么权限（这也是我会的没有）

有没有办法使用动态角色名称和动态功能权限进行基于角色的授权？

任何帮助，将不胜感激。

所以我一直在尝试找出如何在 SPA 应用程序中处理授权而不是身份验证的最佳实践。

假设我有一个带有 api 后端的客户端 MVC（角度、vuejs 等），我们如何使用应用程序的授权进行管理？

例如，用户和经理都可以访问，但其中一个拥有比另一个更多的访问权限（视图中的功能）。如果他们都在客户端使用相同的 UI，您如何根据他们的访问权限保护和呈现正确的视图？可以选择获取他们的角色/声明列表，并根据该列表确定在客户端呈现的内容，但由于这是基于 JS 的，因此可以轻松绕过。

在我看来，客户端 mvc 应用程序可能不是正确的解决方案，而 SSR 应用程序更适合于此。如果是这样的话，那手机壳呢？您如何在无需开发实际的原生应用程序的情况下为移动设备解决同样的问题？

我正在使用 asp.net core 1.1 和 identity 1.1。我的应用程序中有 2 个角色包含“管理员”和“用户”。我希望“管理员”用户在登录后导航到“/AdminProfile/Index”，“用户”用户在登录后导航到“/UserProfile/Index”。

我的登录代码：

在 RedirectToLocal 操作中：

我User.IsInRole("Admin")用来验证用户角色，但它总是返回 false。如何检查身份 1.1 中的用户角色？

在Wicket中，我必须使用@AuthorizeInstantiation基于角色来限制访问。否则允许所有人访问。

我想要反向行为：默认限制所有页面（仅在@AuthorizeInstantiation指定时允许）

怎么做？