mvc中的用戶角色和權限

Question

我有一個mvc應用程序，其中我有不同的角色使用，角色用戶具有不同的功能（例如：添加，編輯，刪除 - ），並且每個角色中的用戶將在這個角色中有這個功能的子集。我想授予每個用戶根據此權限查看頁面的權限。

什麼是最好的方式來實現這個在MVC？

謝謝

Answer 1

在我們的應用程序中，我們有角色，每個角色都有很多功能。我們的目標是在功能級別上控制訪問，而不是角色級別，儘可能減少對數據庫的訪問。

這裏是我們做什麼：

1）在登錄時，我們創建一個包含用戶可以訪問所有功能的UserCredentials對象（基於其角色）。它是包含在用戶可以訪問的所有角色中的「獨特」功能。然後我們將這個UserCredentials存儲在會話中。

2）限制訪問控制器或動作，我們已經實現了繼承AuthorizeAttribute一個屬性，我們使用這樣的：

[Secure(Functionalities="Xyz.View,Xyz.Save")] 
public ActionResult SomeAction(...){ ... } 

注意，沒有數據庫調用，我們要做的是檢查「 Xyz.View「位於存儲在UserCredentials中的功能列表中。

3）有時我們需要從操作內部訪問證書，所以我們已經創建了另一個ActionFilter（全局），例如，如果他找到名爲「credentials」的參數，將爲操作參數注入憑證：

public ActionResult SomeAction(UserCredentials credentials, int otherParameters) 
{ 
    // "credentials" is populated by the global action filter 
} 

您可以使用它顯示基於用戶角色或功能的不同視圖。

4）另一種情況是，我們需要根據用戶角色或功能隱藏部分視圖。爲此，我們創建了一個具有UserCredentials屬性的BaseViewModel。該屬性也由另一個全局ActionFilter填充，該ActionFilter在該動作執行後運行。如果模型繼承BaseViewModel，則過濾器將填充UserCredentials屬性。我們可以這樣做：

@if(Model.UserCredentials.IsInRole("X")){ 
    <div>Some content</div> 
} 

或

@if(Model.UserCredentials.HasAccessTo("Xyz.Save")){ 
    <button>Save</button> 
} 

我希望它能幫助。