没有数据库的 ASP.NET MVC 角色（并且没有角色提供程序）

Question

我有一个超级简单的 ASP.NET MVC 应用程序，它使用 RpxNow (OpenID) 来允许用户登录。我现在想让用户编辑自己的帐户，并提供管理员访问权限来编辑任何人的帐户。

我有两个单独的“编辑帐户”视图：

• ~/account/edit/
• ~/account/edit/1

第一个根据登录用户加载帐户详细信息。第二个使用提供的 AccountId 加载帐户详细信息。第一个适用于标准用户，第二个适用于管理员。

首先，我需要定义角色（用户、管理员），然后需要为该角色分配一个（或多个）用户帐户。

然后我需要检查控制器中的角色。我喜欢这个概念：

http: //schotime.net/blog/index.php/2009/02/17/custom-authorization-with-aspnet-mvc/

那么，回到问题：

1. 是否有一种简单的方法来定义角色列表在 web.config 中？
2. 有没有一种简单的方法来定义哪些用户在 web.config 中担任哪些角色？
3. 有没有办法在不使用成员/角色提供者的情况下做到这一点？
4. 我是否从错误的角度看待这个问题？我是否应该将应用程序分为两个分支并根据文件夹授权来保护它们？

Answer 1

我不喜欢在 web.config 中存储授权数据。我更喜欢将其存储在数据库或其他 xml 文件中。

看看 Xml 成员资格/角色提供者。它使用成员身份/角色来读取用户数据，但它显示了一种从 xml 文件存储和读取用户授权数据的方法。

分支应用程序只会转移问题而不是解决问题。

Answer 2

请记住，整个权限管道实际上仍然围绕 IPrincipals，角色/成员身份提供程序只是装饰门面，以允许大多数应用程序不必编写该管道代码。在这种情况下，您可以轻松添加数据库支持的（或者如果列表足够短，则只是静态的）角色列表和角色中的用户列表并进行查询。把它包裹在一个定制的 IPrincipal 后面，然后把小狗塞到适当的地方，你就万事大吉了。