我在ASP.NET Web API 2项目中使用角色来限制对某些资源的访问。
现在我有以下情况: 俱乐部经理只能对他管理的俱乐部进行GET。俱乐部经理不应被授权进入他未管理的俱乐部。
这是获得俱乐部的方法:
[Authorize(Roles = "ClubManager")]
[Route("{clubId}")]
public Club GetClub(int clubId)
正如您所看到的,我只允许具有角色" ClubManager"的用户访问此资源。但我还必须确保用户是俱乐部的经理,并且路线参数中包含给定的clubId。 我可以使用Authorize属性实现此目的吗?或者我唯一的选择是在方法本身内进行检查吗?
答案 0 :(得分:3)
您可以使用自定义AuthorizeAttribute执行此操作,例如:
public class ClubAuthoriseAttribute : System.Web.Http.AuthorizeAttribute
{
protected override bool IsAuthorized(HttpActionContext actionContext)
{
int clubId;
int.TryParse((string) actionContext.ActionArguments["clubId"], out clubId);
if (!UserCanManageClub(clubId))
{
return false;
}
return base.IsAuthorized(actionContext);
}
}
然后使用这个新属性:
[ClubAuthorise(Roles = "ClubManager")]
[Route("{clubId}")]
public Club GetClub(int clubId)
注意,假设参数名为clubId,但您应该有足够的参数来根据需要进行自定义。
答案 1 :(得分:0)
就我而言,ActionArguments方法中尚未填充IsAuthorized属性(请参见ActionContext.ActionArguments Is Empty In IAuthenticationFilter中的答案)。相反,我可以使用
actionContext.RequestContext.RouteData.Values["clubId"]
也许,这对将来的人有帮助。
答案 2 :(得分:0)
就我而言,我不希望从客户端向我的端点发送用户 ID。我从已经授权的请求中获取用户 ID:
[Authorize(Roles = "ClubManager")]
public Club GetClub()
{
var userId = User.Identity.GetUserId();
.
.
.
}
并使用该 ID 恢复实际合法用户。 这样,您就不必担心用户试图获取其他用户的信息。
答案 3 :(得分:-1)
我有个主意。我认为您可以创建另外的自定义授权属性。
像这样的Smth:public class AuthorizeUserToClubAttribute : AuthorizeAttribute
{
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
bool result = false;
//Get route data from context
//Get current user from context
//Ceck does user has an access and write result into variable
return result;
}
}