问题标签 [roles]

我们有一个现有的 ASP.NET Web 应用程序，该应用程序已经使用了一个本地开发的基于角色的身份验证系统。每个用户都有一个角色，而这个角色本身实际上就是一个完全实现的类。它仍然归结为一组非常标准的角色（用户、管理员、所有者等）。

现在我们正在启动一个新的 ASP.NET MVC 项目，该项目使用相同的核心库，包括现有的用户和角色。我想使用内置功能进行基于角色的授权，例如：

我们已经修改了默认登录行为以检查我们现有的用户/密码数据库，现在我们需要弄清楚如何最好地集成角色。有没有人对这个最好/最简单的解决方案有任何看法？我将不得不覆盖 OnAuthorization 还是有更好的方法来做到这一点？

我正在进行的这个项目需要我保留一个本地管理员用户数据库，并为普通用户使用一个外部数据库。在 admin db 中通过身份验证的任何人都应分配“admin”角色，通过其他 db 进行身份验证的任何人将始终分配“user”角色。

我可以手动分配这些角色吗？我不需要角色提供者或任何东西的复杂性，因为我只使用这两个角色，这两个角色总是基于他们认证的数据库。

如果您可以提供示例代码或指向某些文档的链接，那将是一个巨大的帮助。谢谢！

编辑：

目前我没有使用角色提供者并且创建一个似乎很麻烦。我知道它不是“最佳实践”，但我只需要在登录期间分配 2 个角色中的 1 个（这永远不会改变）。在数据库中存储角色信息也是没有意义的，因为用户已经被他们的角色分成了 2 个数据库。

这是一些伪代码：

我不知道它的“ThisSession.AssociateUserWithRole”部分。基本上，用户经过身份验证后，我需要告诉 .NET 用户属于哪个角色。

我有一个超级简单的 ASP.NET MVC 应用程序，它使用 RpxNow (OpenID) 来允许用户登录。我现在想让用户编辑他们自己的帐户并提供管理员访问权限来编辑任何人的帐户。

我有两个单独的“编辑帐户”视图：

• 〜/帐户/编辑/
• 〜/帐户/编辑/ 1

第一个加载基于登录用户的帐户详细信息。第二个使用提供的 AccountId 加载帐户详细信息。第一个用于标准用户，第二个用于管理员。

首先，我需要定义角色（用户、管理员），然后我需要为该角色分配一个用户帐户（或多个）。

然后我需要检查控制器中的角色。我喜欢这个概念：

http://schotime.net/blog/index.php/2009/02/17/custom-authorization-with-aspnet-mvc/

所以，归结为问题：

1. 有没有一种简单的方法可以在 web.config 中定义角色列表？
2. 有没有一种简单的方法来定义 web.config 中哪些用户属于哪些角色？
3. 有没有办法在不使用会员/角色提供者的情况下做到这一点？
4. 我是否从错误的角度来处理这个问题？我应该将应用程序分成两个分支并根据文件夹授权保护它们吗？

假设一个高速开发人员的任务是构建一个可供许多不同人访问的银行应用程序。每个人都希望访问他或她自己的帐户信息，但不希望其他人访问它。我想知道在 MVC 应用程序中限制访问的最佳实践，以便只有拥有信息的用户（或管理员）才能访问它。

该Authorize属性允许我们按角色进行限制。虽然这是一个起点，但似乎任何经过身份验证的用户都可以访问任何其他用户的信息。

ActionFilters 似乎提供了更精细控制的选项，并且可能用于完成任务。但是，我不清楚它们是否是推荐的方法。

欢迎任何指导或想法。

我目前正在开发一个使用基于角色的安全性的 ASP.NET 3.5 Intranet，在某些情况下，无论是在页面级别还是在页面内容级别。我想实现站点范围的搜索，但根据当前用户在访问给定页面时通常会看到的内容来限制结果。我想它必须为每个用户分别索引网站？

我搜索了 ASP.NET 社区控制库以及 Google，但没有找到可以以这种特定方式索引的任何内容。任何人都可以提供指向将处理这种情况的预构建控件/解决方案的链接，或者我可以尝试的自定义技术吗？

谢谢。

我有一个基于 ASP.NET 角色/成员身份的表单身份验证站点。有一个子文件夹及其页面，只能由特定角色访问。问题是，如果来自非允许角色组的任何用户在登录页面中登录，登录页面不会显示任何错误消息。我的意思是，当来自 AllowedRole 的用户登录时，登录页面会将用户正确重定向到受保护的页面，但是当来自 NonAllowedRole 的用户尝试登录时，他/她正确登录但没有显示错误消息，用户又回来了在没有任何信息的情况下进入登录页面。我确实在登录表单中设置了 FailureText，但未显示。loginForm.LoginError 事件也不会被引发。我试过这段代码，但它也不显示：

我究竟做错了什么？

在我未来的 Web 应用程序中，会有很多用户角色。根据用户的角色，webapp 应该限制用户对某些信息的访问。我需要实现以下功能：

• 根据角色，用户应该只看到当前角色和用户可用的列和行（在数据网格中）
• 根据角色，用户应该以只读或可编辑模式查看页面
• 根据角色，用户应该在网页上显示/隐藏一些控件

在我以前的应用程序（非常简单）中，使用代码隐藏文件和标记文件中的许多条件运算符解决了此类问题。维护这样的代码非常困难。

我想知道是否有任何复杂的解决方案可以为所有级别的应用程序（数据、逻辑、视图）维护基于角色的安全性，而不会用 IF 弄乱代码。

ps 两者，java 和 .net 平台的解决方案都很有趣

我想创建一个拥有各种用户的网站。用户可以有不同的角色，管理员和用户，这是一个非常有据可查的情况。但我还想根据他们的位置对用户进行分组，因此在每个位置我都可以同时拥有管理员和用户。- 多维角色系统？

原因是，德国用户应该可以访问特定的文档集，而意大利用户不应该。

我应该在哪里查找有关此特定主题的文档？我需要一些方法来限制我的搜索，也许是一些关键字。

我的应用程序需要能够在不同级别为不同团队提供保护。例如，某人可能是一个团队的管理员，但可能只是另一个团队的查看者。

理想情况下，我希望拥有一个单一的、一小组角色，但我希望将人员分配给每个团队的不同角色。即“Joe”可能是 TeamA 的管理员，但拥有 TeamB 的读者访问权限。

Asp.Net 提供者框架会支持这个吗？

——马特

更新：我的问题是“IsInRole”方法。它需要一个参数。除了破解它（将两个项目连接在一起，如团队 ID 和角色名称）之外，还有其他方法可以解决这个问题吗？

来自 ASP 新手的超级简单问题：我正在开发一个仅限内部的 ASP.NET 网站，该网站全面使用 Windows 集成身份验证。基本上我想将三个角色与该站点相关联：用户、经理和管理员。该站点对整个组织开放，因此经过身份验证的任何人都是用户，除非他们是经理或管理员。

管理员和管理员列表需要在数据库中，而不是在 web.config 中。此站点的角色信息与可以从用户的 AD 配置文件中了解的内容没有任何关联。

我很快就学会了 ASP.NET，而且我绝对有能力研究正确的解决方案，但我希望有人能在这里让我走上正确的道路。完成这项工作的最佳方法是什么？我想它涉及在集成身份验证之上使用角色提供程序，但在我开始研究一百万个选项并可能选择错误的选项之前，我想我会在这里问。

谢谢！