我对MVC中的自定义授权有疑问。
我有一个网站,我想限制对某些网页的访问权限,具体取决于他们的群组成员资格。现在,我已经看到了大量关于如何执行此操作的示例,例如,如果存在单个管理组和单个用户组,而不是第三级的任何示例。
例如,只有公司的用户才能查看自己公司的订单(并且每家公司都有自己的管理员等)。这些公司存储在DB中。所以我已经看到了进行自定义授权的方法,覆盖AuthorizeCore上的AuthorizeAttribute方法,但我不知道如何访问传递给控制器的参数以查看用户是否可以访问订单(例如订单ID)。
这是否是进行检查的最佳位置,还是应该直接从控制器的方法处理?
答案 0 :(得分:30)
AuthorizationContext(OnAuthorize的参数)提供对Controller,RouteData,HttpContext等的访问。您应该能够在自定义授权过滤器中使用它们来执行您想要的操作。以下是从AuthorizeAttribute派生的RoleOrOwnerAttribute的代码示例。
public override void OnAuthorization( AuthorizationContext filterContext )
{
if (filterContext == null)
{
throw new ArgumentNullException( "filterContext" );
}
if (AuthorizeCore( filterContext.HttpContext )) // checks roles/users
{
SetCachePolicy( filterContext );
}
else if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
{
// auth failed, redirect to login page
filterContext.Result = new HttpUnauthorizedResult();
}
// custom check for global role or ownership
else if (filterContext.HttpContext.User.IsInRole( "SuperUser" ) || IsOwner( filterContext ))
{
SetCachePolicy( filterContext );
}
else
{
ViewDataDictionary viewData = new ViewDataDictionary();
viewData.Add( "Message", "You do not have sufficient privileges for this operation." );
filterContext.Result = new ViewResult { MasterName = this.MasterName, ViewName = this.ViewName, ViewData = viewData };
}
}
// helper method to determine ownership, uses factory to get data context,
// then check the specified route parameter (property on the attribute)
// corresponds to the id of the current user in the database.
private bool IsOwner( AuthorizationContext filterContext )
{
using (IAuditableDataContextWrapper dc = this.ContextFactory.GetDataContextWrapper())
{
int id = -1;
if (filterContext.RouteData.Values.ContainsKey( this.RouteParameter ))
{
id = Convert.ToInt32( filterContext.RouteData.Values[this.RouteParameter] );
}
string userName = filterContext.HttpContext.User.Identity.Name;
return dc.Table<Participant>().Where( p => p.UserName == userName && p.ParticipantID == id ).Any();
}
}
protected void SetCachePolicy( AuthorizationContext filterContext )
{
// ** IMPORTANT **
// Since we're performing authorization at the action level, the authorization code runs
// after the output caching module. In the worst case this could allow an authorized user
// to cause the page to be cached, then an unauthorized user would later be served the
// cached page. We work around this by telling proxies not to cache the sensitive page,
// then we hook our custom authorization code into the caching mechanism so that we have
// the final say on whether a page should be served from the cache.
HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache;
cachePolicy.SetProxyMaxAge( new TimeSpan( 0 ) );
cachePolicy.AddValidationCallback( CacheValidateHandler, null /* data */);
}
答案 1 :(得分:2)
如果授权真的那么动态,我会在控制器中处理它。我有一个操作,我可以返回一个HttpUnauthorizedResult来重定向到登录页面,或者你可以在视图中显示自定义错误。
当有人已经登录但没有正确的角色时,我没有默认重定向到登录页面。这对用户来说非常混乱。
答案 2 :(得分:1)
我的回答并不是很好,因为它会杀死单元测试,但我会从System.Web.HttpContext.Current.Session中提取值。单件在整个项目中都可用。通过将当前用户保存在会话中,您可以从任何地方访问它,包括AuthorizeAttribute等实用程序类。
我很乐意看到可以通过单元测试的解决方案。