在我的ASP.NET MVC应用程序中,我试图确定用户是否有权访问特定控制器,受授权数据注释的限制如下,
[Authorize(Roles = "user")]
我试图覆盖OnAuthorization以检查:-
如果请求已通过身份验证(效果很好)
如果用户被授权访问所请求的视图(不起作用)
我的用户角色存储在我创建的SessionManager对象中-
SessionManager.ActiveUser.Roles这是伪代码形式的内容,但是如果有人可以帮助我解决这个问题,我将非常感激。
public class HomeBaseController : Controller
{
protected override void OnAuthorization(AuthorizationContext context)
{
if (context.HttpContext.User.Identity.IsAuthenticated)
{
// these values combined are our roleName
bool isAuthorised = context.HttpContext.User.IsInRole(context.RequestContext.HttpContext.User.Identity.);
if (!context.HttpContext.User.IsInRole(---the roles associated with the requested controller action (e.g. user)---))
{
var url = new UrlHelper(context.RequestContext);
var logonUrl = url.Action("LogOn", "SSO", new { reason = "youAreAuthorisedButNotAllowedToViewThisPage" });
context.Result = new RedirectResult(logonUrl);
return;
}
}
}
最佳答案
至于根据ProASP.NET MVC3 Book覆盖OnAuthorization,他们不建议覆盖它,因为此方法的默认实现安全地处理使用OutputCache Filter缓存的内容。
如果您要查找“自定义身份验证”(使用Forms Auth)和“授权”(使用角色提供程序逻辑),那么下面是我保护应用程序安全的方法。
编辑:以下逻辑使用内置的表单身份验证和角色管理器。一旦对用户进行身份验证和授权,就可以使用用户身份检查身份验证(User.Identity.IsAuthenticated)和角色User.IsInRole(“ admin”)
在Web.Config中:
<authentication mode="Forms">
<forms loginUrl="~/Account/LogOn" timeout="15" slidingExpiration="true" enableCrossAppRedirects="false" protection="All" />
</authentication>
<roleManager enabled="true" defaultProvider="MyRolesProvider" cacheRolesInCookie="true" cookieProtection="All">
<providers>
<clear />
<add name="MyRolesProvider" type="MyApp.Library.CustomRolesProvider" />
</providers>
</roleManager>
对于角色授权扩展RoleProvider并根据需要重写方法。
public class CustomRolesProvider : RoleProvider
{
public override string[] GetRolesForUser(string username)
{
// You need to return string of Roles Here which should match your role names which you plan to use.
//Some Logic to fetch roles after checking if User is Authenticated...
return new string[] { "admin" , "editor" };
}
//Rest all of them I have kept not implemented as I did not need them...
}
在您的控制器中现在您可以使用:
[Authorize(Roles="Admin")]
public class AdminController : Controller
{
....
}
对于身份验证,我已经实现了自定义身份验证检查,但仍使用表单身份验证:
//This one calls by Custom Authentication to validate username/password
public ActionResult LogOn(LogOnViewModel model, string returnUrl)
{
if(Authenticate("test","test"))
{
.......
}
}
public bool Authenticate(string username, string password)
{
//Authentication Logic and Set the cookie if correct else false.
//..... your logic....
//.....
FormsAuthentication.SetAuthCookie(username, false);
}