asp.net-mvc – ASP.net MVC – 为一个用户/角色授权控制器,但为一个操作授权所有用户

前端之家收集整理的这篇文章主要介绍了asp.net-mvc – ASP.net MVC – 为一个用户/角色授权控制器,但为一个操作授权所有用户前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个像这样的控制器:
  1. [Authorize(Users="Admin")]
  2. public class MyController : Controller
  3. {
  4. ...
  5.  
  6. [AllowAnonymous]
  7. public AllUsersAction()
  8. {
  9.  
  10. }
  11. }

除了我确实想要授权AllUsersAction之外,只有所有授权用户都应该能够点击它,而不仅仅是管理员.

该怎么办?

编辑:我知道我可以授权整个控制器,并为管理员只能使用的所有操作提供更多限制.但我宁愿不把属性放在每一个动作上,而是一个.

这个问题可以更好地表达:如果目前不可能实现这种“极简主义”,那么实施会是什么样的?

解决方法

使用Authorize属性,不带控制器的任何参数:
  1. [Authorize]
  2. public class MyController : Controller
  3. {
  4. ...
  5. public AllUsersAction()
  6. {
  7.  
  8. }
  9.  
  10. [Authorize(Users="Admin")]
  11. public ActionResult OnlyForAdmin()
  12. {
  13. }
  14.  
  15. }

并为受限操作指定“授权”属性“角色/用户属性.

遗憾的是,只有当action具有AllowAnonymous属性时,控制器上的Authorize属性才会绕过授权.幸运的是,如果action有自己的Authorize属性,你可以覆盖Authorize属性的OnAuthorization方法以跳过控制器中的授权检查Authorize属性

  1. public class CustomAuthorize : AuthorizeAttribute
  2. {
  3. public override void OnAuthorization(AuthorizationContext filterContext)
  4. {
  5. if(filterContext.ActionDescriptor.IsDefined(typeof(AuthorizeAttribute),true))
  6. {
  7. //skip authorization check if action has Authorize attribute
  8. return;
  9. }
  10.  
  11. base.OnAuthorization(filterContext);
  12. }
  13. }

您可以在示例中使用此CustomAuthorize:

  1. [CustomAuthorize(Users="Admin")]
  2. public class MyController : Controller
  3. {
  4. ...
  5.  
  6. [Authorize]
  7. public AllUsersAction()
  8. {
  9.  
  10. }
  11. }

猜你在找的asp.Net相关文章