我在互联网上搜索了所有内容,我在这个主题上找到了一些好的东西,但我还有一些问题,我仍然不确定:
1)我正在使用自定义身份验证提供程序的表单身份验证。所以我仍然使用Authorize属性和web.config中的部分,但基本上当FormsAuthenticationTicket不存在时,我重定向到登录页面(在web.config中指定),然后利用自定义身份验证提供程序以针对数据库授权用户,然后发出FormsAuthenticationTicket。这是对的吗?
2)我应该使用自定义Authorize属性,还是应该从global.asax页面的GenericPrincipal事件处理程序中将HttpContext注入Application_AuthenticateRequest ?或者我应该使用控制器操作的User.IsInRole insode吗?
我只需要基于角色的授权,我认为我的身份验证方案非常好。
任何指针/建议?
谢谢, 萨姆
修改
根据我的阅读,最好的选择是创建自定义AuthorizeAttribute并覆盖AuthorizeCore。
所以我所做的就是:
public class CustomAuthorize : System.Web.Mvc.AuthorizeAttribute
{
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
if (httpContext.User.Identity.IsAuthenticated)
{
var model = AdminUserViewModel.FromJsonString(((FormsIdentity)httpContext.User.Identity).Ticket.UserData);
httpContext.User = new GenericPrincipal(HttpContext.Current.User.Identity, model.SecurityGroups.Select(x => x.Name).ToArray());
}
return base.AuthorizeCore(httpContext);
}
protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
{
//base.HandleUnauthorizedRequest(filterContext);
filterContext.Result = new System.Web.Mvc.RedirectResult("/Authentication/NotAuthorized", false);
}
}
只需使用存储在FormsAuthenticationTicket UserData属性中的角色注入新的主体/标识。然后让基地完成剩下的工作。
这似乎没问题吗?
编辑#2
我对使用IIS7的global.asax中的Application_AuthenticateRequest感到有点厌倦,因为集成管道,每个请求都会触发该事件,图像,css,js ......
这是对的吗?
答案 0 :(得分:4)
1)我做同样的事情。
2)我使用Authorize属性和Application_AuthenticateRequest事件处理程序。
在Application_AuthenticateRequest事件处理程序中,我执行以下操作:
string[] roles = authenticationTicket.UserData.Split(',');
if (Context.User != null)
Context.User = new GenericPrincipal(Context.User.Identity, roles);
在控制器或行动层面,我做了类似的事情:
[Authorize(Roles = "Admin, SuperAdmin")]