ASP.NET MVC-擴展授權屬性

Question

當前，我使用[Authorize（Roles =“ .....”）]來保護我的ASP.NET MVC 1應用程序上的控制器動作，並且可以正常工作。 但是，某些搜索視圖需要具有路由到這些操作的按鈕，這些按鈕需要基於在搜索列表上選擇的記錄以及登錄用戶的安全特權而被啟用/禁用。

因此，我認為我需要一個類來訪問數據庫表，該表將這些目標控制器/操作與應用程序角色進行交叉引用，以確定這些按鈕的狀態。 顯然，這會使事情變得混亂，因為需要將privs保留在兩個位置-在該類/數據庫表中以及在控制器動作上（此外，如果我想更改對動作的訪問權限，則必須更改代碼和編譯，而不僅僅是更改數據庫表條目）。

理想情況下，我想擴展[Authorize]功能，以便不必在[Authorize]代碼中指定角色，而是將根據用戶，控制器和操作查詢安全類，然后返回一個布爾值允許或拒絕訪問。 關於這一點是否有任何好的文章-我無法想象這是一件不尋常的事情，但是我似乎正在努力尋找有關如何做的任何事情（可能是星期一早上的大腦）。 我已經開始執行一些代碼了，請參閱文章http://schotime.net/blog/index.php/2009/02/17/custom-authorization-with-aspnet-mvc/ ，它似乎正在開始好的，但是我找不到從httpContext獲取調用控制器和操作值的“正確”方法-我可能會捏一些代碼從請求url中提取它們，但這對我來說似乎不對，我寧願做得正確。

干杯

MH

Answer 1

我在另一個論壇上找到了它，因此將其張貼在這里，以防任何人發現它有用。 請注意，執行此操作的方式取決於您使用的是MVC 1還是2

您創建的類需要實現

public void OnAuthorization(AuthorizationContext filterContext)

然后你可以使用

string controllerName = filterContext.RouteData.Values["controller"].ToString();

同樣，將“ action”替換為“ controller”（確保首先檢查這些值中的空值）。 在MVC 2中，可以將其更改為filterContext.ActionDescriptor.ActionName和.ActionDescriptor.ControllerDescriptor.ControllerName，而無需檢查null