ASP.NET MVC提供了通过使用[Authorize(Roles = "Administrators, Content Editor")]
等属性对其进行修饰来保护控制器及其方法的可能性。
我想使用这种机制,但检查权限而不是角色。 这是一个更好的设计:用户有一个或多个角色,每个角色都有一个权限集。然后对权限执行安全检查,并且更容易添加具有特定权限的新角色。
我想使用标准的SQL角色提供程序。因此,到目前为止,我发现的唯一解决方案是使用Microsoft提供的所有内容,而是使用正常的“角色”作为权限。然后我将不得不创建一个自定义表(和UI)来处理真实角色(自定义表)和微软'角色'(用作权限)之间的关联。
有没有更好的方法来做我需要的事情?
谢谢!