我有一个用 asp.net mvc 编写的具有流畅 nhibernate 的 Web 应用程序。



我试图找到一种架构来开发自定义授权。一个用户可以是多个公司的成员。此外，用户可以是公司的管理员，而他也可以只是另一家公司的成员。

我们还希望根据 Controller 、 Action 或 Action ID 开发自定义授权。例如，用户可以只是一个类别的管理员。
即；在我们 future 的系统中，会有用户、用户组，其中的用户和组属于一个公司。而自定义授权将根据 url (contoller/action/id) 应用于它们。

任何建议，有用的链接等？

这实际上有点棘手 - 您可能需要重新考虑自定义授权并考虑在 Application_AuthenticateRequest 中填充角色，然后使用 [Authorize] 属性进行实际检查用户是否属于这些角色。您正在应用这种方式它直接用于操作方法并避免自定义困惑但实现基本相同的结果。

我们有一个类似的讨论尚未解决:
Questions about a Custom Security setup for MVC3 using overridden AuthorizeAttribute, thread safety, ChildActions and caching