ASP.NET：基于角色的安全性和页面设计

Question

我有一个包含几个网格的页面和一个包含 7 个控件的小表单。网格显示辅助数据。总共有大约 320 行隐藏代码来处理各种事件。我要求一个特定角色只能编辑 7 个字段中的 3 个字段，而有权访问此页面的所有其他角色都可以编辑所有字段。

现在回答我的问题。我们通常采用将基于角色的安全性限制在页面级别的方法，因为通过这样做，.Net 中的安全性变得完全可配置。但在这种情况下，由于这个要求，我打算破例，这是我没有模式的新领域。为了为只能访问 3 个控件的角色创建一个单独的页面，我必须进行大量的代码重复，这使得这不是一个选项 - 即使我将一些内容放入用户控件中，这似乎是不合理的工作量反正。

我的第一个想法是禁用 page_load 事件中当前用户无法访问的所有控件，但这感觉很难看。有更好的方法吗？

Answer 1

您可以对要保护的控件类型进行子类化，并在 OnLoad 事件中确定是否允许用户编辑。

public class ProtectedTextBox : TextBox
{
    protected override void OnLoad(EventArgs e)
    {
        base.OnLoad(e);
        bool hasAccess = CurrentUserHasAccess(); // TODO
        if (hasAccess)
        {
            Enabled = true;
        }
        else
        {
            Enabled = false;
        }
    }
}

然后为 web.config 中的控件分配一个前缀：

<pages>
    <controls>
        <add tagPrefix="me" Namespace="YourNamespace" assembly="YourAssembly" />
    </controls>
</pages>

最后，只需在页面上使用它来代替您想要防止未经授权的用户修改的任何字段的常规文本框。

<me:ProtectedTextBox runat="server" <!-- etc. -->>

对按钮以及您需要的任何其他控件类型执行相同的操作。

Answer 2

如果您创建另一个也继承自同一代码隐藏文件的表单会怎么样？这不会给您带来不同的观点并防止您形成重复的代码吗？

Answer 3

您能否安排控件，使受安全性影响的控件位于单独的面板中，然后根据安全性隐藏该面板？