[英]ASP.NET MVC 3 Custom Authentication/Authorization
我在互联网上搜索过,所以我在这个主题上找到了一些好东西,但是我还有一些问题,我仍然不确定:
1)我正在使用自定义身份验证提供程序的表单身份验证。 所以我仍然使用Authorize
属性和web.config中的部分,但基本上当FormsAuthenticationTicket
不存在时,我重定向到登录页面(在web.config中指定),然后利用自定义身份验证提供程序来授权用户对数据库然后发出FormsAuthenticationTicket
。 这个对吗?
2)我应该使用自定义Authorize
属性还是应该从Global.asax页面中的Application_AuthenticateRequest
事件处理程序中将GenericPrincipal
注入HttpContext
? 或者我应该使用控制器操作的User.IsInRole
insode?
我只需要基于角色的授权,我认为我的身份验证方案非常好。
任何指针/建议?
谢谢,山姆
编辑
因此,根据我的阅读,最好的选择是创建自定义AuthorizeAttribute
并覆盖AuthorizeCore
。
所以我做的是这样的:
public class CustomAuthorize : System.Web.Mvc.AuthorizeAttribute
{
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
if (httpContext.User.Identity.IsAuthenticated)
{
var model = AdminUserViewModel.FromJsonString(((FormsIdentity)httpContext.User.Identity).Ticket.UserData);
httpContext.User = new GenericPrincipal(HttpContext.Current.User.Identity, model.SecurityGroups.Select(x => x.Name).ToArray());
}
return base.AuthorizeCore(httpContext);
}
protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
{
//base.HandleUnauthorizedRequest(filterContext);
filterContext.Result = new System.Web.Mvc.RedirectResult("/Authentication/NotAuthorized", false);
}
}
只需使用存储在FormsAuthenticationTicket
UserData
属性中的角色注入新的主体/标识。 然后让基地完成剩下的工作。
这看起来好吗?
编辑#2
我对使用IIS7的global.asax中的Application_AuthenticateRequest
感到有点厌倦,因为集成管道,每个请求都会触发该事件,图像,css,js ......
这个对吗?
1)我做同样的事情。
2)我使用Authorize属性和Application_AuthenticateRequest事件处理程序。
在Application_AuthenticateRequest事件处理程序中,我执行以下操作:
string[] roles = authenticationTicket.UserData.Split(',');
if (Context.User != null)
Context.User = new GenericPrincipal(Context.User.Identity, roles);
在控制器或动作级别,我做这样的事情:
[Authorize(Roles = "Admin, SuperAdmin")]
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.