ASP.Net MVC Web API自定义授权

时间:2015-01-08 12:16:00

标签: c# asp.net asp.net-mvc

我有一个复杂的应用程序,其中包含许多需要在数据库中进行权限检查的Web Api调用。我可能有一个简单的api调用示例:

[HttpGet]
    public IEnumerable<StudentContact> GetStudentContacts(int id)
    {
        return db.StudentContacts.AsNoTracking().Where(n => n.StudentId == id && n.Current_Record == true).OrderBy(n => n.RankOrder);
    }

要进行权限检查,我必须执行以下操作:

int staffID = (User as CustomPrincipal).UserId;
int siteId = Functions.GetSiteIdFromCookie();
if (Functions.UserHasAccess(staffID, AccessLevels.access_StudentDetailsUpdate,siteId) == true) return true;
else return false;

我想要实现的是创建自定义授权注释,以便我可以:

[HttpGet]
[PermissionAuth(AccessLevels.access_StudentDetailsUpdate,AccessLevels.access_StudentDetailsReadOnly)]
public IEnumerable......

我可能需要选择和/或两者都是真的,或者一个是真的。有人可以帮忙吗?

1 个答案:

答案 0 :(得分:1)

这可以通过扩展AuthorizeAttribute并覆盖IsAuthorized方法来实现。 您需要的是以下内容。

public class PermissionAuthAttribute : AuthorizeAttribute
{
    private readonly List<string> _accessLevels;


    public PermissionAuth(params string[] accessLevels)
    {
         _accessLevels = accessLevels.ToList();
    }

    protected override bool IsAuthorized(HttpActionContext actionContext)
    {
        if (!base.IsAuthorized(actionContext))
        {
            return false;
        }
        int staffID = (User as CustomPrincipal).UserId;
        int siteId = Functions.GetSiteIdFromCookie();
        if (Functions.UserHasAccess(staffID, AccessLevels.access_StudentDetailsUpdate,siteId) == true) { 
            return true;
        }
        else {
            return false
        };
    }
}

然后使用[PermissionAuth(/*permissions here*/)]

相关问题
最新问题