如何在 ASP.NET Web 应用程序上使用表单身份验证最好地处理基于角色的权限？

Question

我正在使用 ASP.NET 登录控件 和 表单身份验证，用于 ASP.NET Web 应用程序的成员资格/凭据。

我有两个角色：

• 用户
• 管理员

我希望四个不同的组可以查看页面：

• 每个人（默认、帮助）
• 匿名（创建用户、登录、密码恢复）
• 用户< em>（ChangePassword、DataEntry）
• 管理员（报告）

扩展 ASP.NET HOW DO I 视频系列：成员身份和角色，我已将这些页面文件放入此类文件夹中：

我使用 ASP.NET 网站管理工具为每个文件夹设置访问规则。

它有效，但对我来说似乎很笨拙，并且会产生问题 当 Login.aspx 不在根目录 且使用 Login.aspx 的 ReturnUrl 参数。

有一个更好的方法吗？ 是否有一种简单的方法可以在页面级别而不是文件夹级别设置权限？

Answer 1

在母版页中，我定义了一个用于切换安全检查的公共属性，默认为 true。 我还声明了一个字符串，它是 ; 该页面所需的角色分隔列表。

在我的母版页的页面加载中，我执行以下操作

if (_secure)
{
  if (Request.IsAuthenticated)
  {
    if (_role.Length > 0)
    {
      if (PortalSecurity.IsInRoles(_role))
      {
        return;
      }
      else
      {
        accessDenied = true;
      }
    }
    else
    {
      return;
    }
  }
}

//do whatever you wanna do to people who dont have access.. bump to a login page or whatever

，您还必须将其放在

页面顶部，以便您可以访问母版页的扩展属性

Answer 2

我的脑海中浮现出几个解决方案。

1. 您可以在 web.config 文件中为每个页面设置限制。 这将允许您拥有您想要使用的任何文件夹层次结构。 但是，每当您添加其他页面时，它都要求您保持 web.config 文件最新。 让文件夹结构决定可访问性的好处是，您在添加新页面时不必考虑它。
2. 让您的页面继承自定义类（即EveryonePage、UserPage、AdminPage 等）并在Page_Load 例程中进行角色检查。

Answer 3

我过去使用过的一个解决方案是：

1. 创建一个名为“SecurePage”的基本页面或类似的内容。
2. 将属性“AllowedUserRoles”添加到基页，该属性是用户角色 List 或 List 的通用列表，其中 int 是角色 id。
3. 在扩展 SecurePage 的任何页面的 Page_Load 事件中，将每个允许的用户角色添加到AllowedUserroles 属性。
4. 在基页中重写 OnLoad() 并检查当前用户是否具有AllowedUserRoles 中列出的角色之一。

这允许自定义每个页面，而无需在 web.config 中添加大量内容来控制每个页面。