.net中的高級授權策略

Question

我正在尋找在.net中進行高級授權（不驗證）的現有解決方案。要求如下：

1. 定義應用程序實體上的自定義應用程序操作。說「會議」實體的操作「更新」。
2. 授予用戶「用戶1」僅對ID = 1的實體「會議」執行操作「更新」。
3. 當執行操作「更新」時，檢查當前用戶（「用戶1」）是否有權訪問「 「ID爲1的實體。

所以我需要一些現有的解決方案來授權特定對象進行操作。據我所知，一些解決方案（AzMan）提供授權功能，但僅限於作爲單位的操作（不適用於具體對象）。

Answer 1

你可以用PrincipalPermissionsAttribute這樣的東西來做到這一點。如果您正在處理Windows授權和諸如AzMan之類的事情，您可以簡單地創建用戶分配角色並將其登錄到您的應用程序（或使用當前登錄的用戶信息）。如果您想使用自定義身份驗證，則必須自己處理角色，並將Thread.CurrentPrincipal設置爲GenericPincipal之類的內容。然後，您可以在方法上使用PrincipalPermissionsAttribute以確保只有具有特定角色的主體並執行該方法。例如：

[PrincipalPermission(SecurityAction.Demand, Role = @"UserUpdater")] 
public void UpdateUserName(string name) 
{ 
//... 
} 

如果你想自己做的授權，一旦你授權的用戶，您可以用類似設置校長：

var identity = new GenericIdentity("Bill"); 
var roles = new[] { @"UserUpdater" }; 
var principal = new GenericPrincipal(identity, roles); 
Thread.CurrentPrincipal = principal; 

你必須處理SecurityException當沒有該角色的用戶調用該方法時。假定是別的東西檢查角色，並且根本不執行該方法...