6
的授權過濾器,可以指定用戶組可以訪問控制器或動作:ASP.NET MVC:[授權]的對面
[Authorize(Roles="Administrator")]
public class HomeController : Controller
{
// code
}
我想知道這是否是可能的,而不是,指定一組用戶不能訪問控制器或操作。
A
回答
5
我試着TWK的建議後,創造我自己的AuthorizationAttribute:
public class Restrict : AuthorizeAttribute
{
private readonly string _role;
public Restrict(string role)
{
_role = role;
}
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
if (httpContext == null)
throw new ArgumentNullException("httpContext");
if (httpContext.User.IsInRole(_role))
return false;
return true;
}
}
我用它是這樣的:
[Restrict("Administrator")]
public class HomeController : Controller
{
// code
}
我不確定是否這是正確的做法,但它做到了這一點。
+0
對我來說很好! :) – jeef3 2009-09-04 02:54:18
+0
您的「限制」屬性是否同時接受多個角色? – twk 2009-09-04 15:38:43
+0
+1非常簡單的解決方案 – CmdrTallen 2009-09-04 18:01:53
1
你應該準備你自己的ActionFilter,它可以實現這樣的功能。 默認情況下,存在拒絕所有內容的規則,但允許通過授權操作篩選器進行定義(如您所知)。
一些靈感,可以發現there
1
根據ajbeaven's answer,我設法將其擴展到角色列表而不是一個角色。
首先,將限制類:
public class Restrict : AuthorizeAttribute {
private List<string> _roles;
public string Roles {
get {
string roles = "";
if (_roles != null && _roles.Count > 0) {
int counter = 0;
foreach (string role in _roles) {
counter++;
if (counter == _roles.Count) {
roles = role;
} else {
roles += role + ",";
}
}
}
return roles;
}
set {
_roles = new List<string>();
string[] roles = value.Split(',');
foreach (string role in roles) {
_roles.Add(role);
}
}
}
public Restrict() {
_roles = new List<string>();
}
protected override bool AuthorizeCore(HttpContextBase httpContext) {
bool result = true;
if (httpContext == null) {
throw new ArgumentNullException("httpContext");
}
foreach (string role in _roles) {
if (httpContext.User.IsInRole(role)) {
result = false;
break;
}
}
return result;
}
}
然後添加AppRoles類,使整個解決方案可重複使用:
public static class AppRoles {
public const string Role1 = "Role1";
public const string Role2 = "Role2";
}
用法:
[Authorize]
[Restrict(Roles = AppRoles.Role1 + "," + AppRoles.Role2)]
public ActionResult Index() {
return View();
}
相關問題
- 1. ASP.NET MVC 2授權與網關頁面
- 2. asp.net的MVC授權問題
- 3. ASP.NET MVC 3定製授權
- 4. Asp.Net MVC授權選項
- 5. Asp.net MVC授權屬性
- 6. ASP.NET MVC授權過濾
- 7. ASP.NET MVC授權 - 自定義?
- 8. 使用ASP.NET MVC授權Twitter
- 9. ASP.NET MVC - 授權重構
- 10. ASP.NET MVC自定義授權
- 11. ASP.NET MVC 2授權問題
- 12. ASP.NET MVC網站授權
- 13. 幫助與asp.net mvc授權
- 14. ASP.NET MVC定製授權
- 15. 自定義授權(權限)ASP.NET MVC
- 16. ASP.NET單頁面授權
- 17. ASP.Net MVC優雅的UI和ModelBinder授權
- 18. 認證/授權的ASP.NET MVC項目
- 19. ASP.Net/MVC授權Vs的身份驗證
- 20. ASP.Net中的數據級授權MVC 3
- 21. ASP.NET MVC 3中的自定義授權
- 22. 沒有SQL Server的ASP.NET MVC授權
- 23. 在asp.net中的授權mvc 4 web api
- 24. ASP.NET MVC中的授權屬性
- 25. ASP.Net MVC Web API的自定義授權
- 26. 覆蓋ASP.NET MVC中的授權屬性
- 27. 帶有CRUD角色的ASP.NET MVC授權
- 28. 授權的Web API在asp.net MVC
- 29. asp.net的MVC角色授權不工作
- 30. 動態路徑的ASP.NET MVC授權
我無法想象這樣一個場景切換從白名單實施到黑名單實施將是有意義的。 – 2009-09-04 00:13:41
我不希望我的管理員訪問與客戶相關的控制器,但我顯然需要非授權用戶和客戶才能夠。 – ajbeaven 2009-09-04 00:27:23
有很多情況下,它是有道理的,並且大多數授權系統都包含對拒絕的支持。考慮一種情況,即所有用戶都有權執行除特定角色成員以外的任何操作。 – ShadowChaser 2012-07-01 03:05:28