Asp.net MVC角色经理

时间:2012-08-29 13:11:41

标签: c# asp.net-mvc authorization roleprovider

我正在为我的asp.net mvc项目使用角色管理器和Windows身份验证 我们有两个角色是观众和编辑。

    <authentication mode="Windows" />
    <roleManager enabled="true" defaultProvider="AspNetWindowsTokenRoleProvider">
        <providers>
          <clear />
          <add applicationName="/" name="AspNetWindowsTokenRoleProvider" type="System.Web.Security.WindowsTokenRoleProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
        </providers>
    </roleManager>

编辑器可以访问整个应用程序,但Viewer只能访问两个操作

我首先尝试为基本控制器设置Authorize属性,只允许编辑器访问所有内容:

[Authorize(Roles = "Editors")]
public class BaseController : Controller

然后将Authorize属性添加到这两个操作:

[Authorize(Roles = "Viewers,Editors")]
public ActionResult Report(PaymentsUnallocatedAndQueriedModel model)

它不起作用,它不允许观众访问任何现在有意义的动作。

我认为在每个操作的顶部重复授权属性不是一个好主意。

请你告诉我是否有更好的解决方案

1 个答案:

答案 0 :(得分:5)

你必须从树的角度来看这个。要进行操作,您必须首先能够访问控制器。在这种情况下,您已将控制器限制为编辑器组,因此查看者甚至无法实现这一目标。最有可能更有帮助的是将控制器限制为Viewers, Editors,然后在需要仅限编辑者权限的操作中指定控制器。这将生成冗余属性,但如果您必须根据角色成员身份手动限制每个操作,请考虑代码成本。

[Authorize(Roles = "Viewers, Editors")]
public class BaseController : Controller
{

    [Authorize(Roles = "Editors")]
    public ActionResult EditReport(PaymentsUnallocatedAndQueriedModel model)
    {
        // Some editor only functionality
    }

    public ActionResult Report(PaymentsUnallocatedAndQueriedModel model)
    {
        // Some functionality for both. No attribute needed
    }
}