堆栈内存溢出
  繁体   English   中英

ASP.NET MVC App中基于声明的条件编辑操作授权设计

[英]Claim based authorization design for conditional edit operation in ASP.NET MVC App

 原文  2015-08-06 03:42:31       asp.net-mvc/ claims-based-identity

问题描述

使用基于声明的模型设计ASP.Net MVC应用程序授权。 让我们说我们有一个名为 - Product的对象。 通常,有4种不同的操作 - 创建,编辑,删除和查看。 授权使用ClaimsAuthorize属性完成。 

[Authorize]
public class ProductController : Controller
{

     [ClaimsAuthorize("Product", "VIEW")]
     public List<Product> GetProducts()
     {
         // ....
     }

     [ClaimsAuthorize("Product", "CREATE")]
     public Product CreateNewProduct(Product product)
     {
         //....
     }
}

但就我而言,我必须支持不同类型的EDIT权限:

  1. 如果同一用户最初创建了产品,则某些用户可以编辑产品

  2. 如果产品属于特定类别,并且用户也可以访问同一类别,则某些用户可以编辑产品

  3. 有些用户可以编辑所有产品(这是正常的产品编辑操作)

你如何优雅地授权所有这些编辑操作(最好是如上所示的属性驱动),同时我希望将授权代码与普通的MVC控制器代码和业务逻辑分开。

[上面的代码示例在语法上不正确,我只是为了解释这个问题而编写]让我知道你的想法。

1 个解决方案

解决方案1
 4 已采纳  2015-08-06 08:54:27

对于您的问题的第一部分,基于声明的授权,我已经在这个类似的问题中回答了它。 我不打算在此重复。

但对于您的另一个规则,例如只有所有者可编辑的产品。 您可以为每个规则编写单独的AuthorizeAttribute并将其应用于您的操作,将此视为一个简单示例: 

using Microsoft.AspNet.Identity;
public class OwnerAuthorizeAttribute : AuthorizeAttribute
{
    private string _keyName;
    public bool IsPost { get; set; }

    public OwnerAuthorizeAttribute(string keyName)
    {
        _keyName = keyName;
    }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        // imagine you have a service which could check owner of 
        // product based on userID and ProductID

        return httpContext.User.Identity.IsAuthenticated
            && this.ContainsKey
            && _productService.IsOwner(httpContext.User.Identity.GetUserId(),
                int.Parse(this.KeyValue.ToString()));
    }

    private bool ContainsKey
    {
        get
        {
            return IsPost
                ? HttpContext.Current.Request.Form.AllKeys.Contains(_keyName)
                // for simplicity I just check route data 
                // in real world you might need to check query string too 
                : ((MvcHandler)HttpContext.Current.Handler).RequestContext
                     .RouteData.Values.ContainsKey(_keyName);
        }
    }
    private object KeyValue
    {
        get
        {
            return IsPost
                ? HttpContext.Current.Request.Form[_keyName]
                // for simplicity I just check route data 
                // in real world you might need to check query string too 
                : ((MvcHandler)HttpContext.Current.Handler)
                    .RequestContext.RouteData.Values[_keyName];
        }
    }
}

您也可以对其他规则重复相同的模式。

您只需将自定义属性应用于您的操作: 

[OwnerAuthorize("id")]
public ActionResult Edit(int id)
{
    // your code
}

[HttpPost]
// double checking in post back too 
[OwnerAuthorize("id", IsPost = true)]
public ActionResult Edit(Product product)
{
    // your code
}

很明显,您可以将多个AuthorizeAttribute应用于您的操作。 在这种情况下, 所有这些都必须返回true 

[ClaimsAuthorize("Product", "EDIT")]
[OwnerAuthorize("id")]
[YetOtherAuthorize]
public ActionResult MyFancyAction(int id)
{
}

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 现有ASP.NET MVC App中基于令牌的授权 编辑ASP.NET MVC的操作验证 ASP.NET MVC 4 编辑/删除操作 ASP.NET MVC编辑操作? ASP.NET MVC中基于组的授权 ASP.net MVC 4中基于角色的授权 Asp.Net MVC 中基于用户的授权 asp.net MVC FormsAuthentication用于基于声明的身份验证 ASP.NET MVC3视图授权设计 如何在ASP.NET MVC4中正确进行编辑操作?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM