基于asp.net mvc3的web项目自定义安全管理的建议

Question

我有一个使用 asp.net mvc3 的 Web 项目。现在客户要求安全管理功能。以下是该项目的一些背景：

1. 使用表单身份验证的公共网站。
2. 客户希望自我管理安全性（包括角色、用户、对资源的操作）。
3. 用户是项目的域模型。
4. 访问控制的粒度至少应该达到操作级别（当用户执行未经授权的操作时，向用户返回未经授权的页面）。但最好根据用户的授权更改视图内容（在视图页面上动态仅显示授权的元素）。

我不太擅长 asp.net mvc 。我不知道内置的memberprovider和roleprovider是否可以满足这个需求。但我更喜欢建立自己的模型提供程序（资源类别、操作、角色、组等）以实现完全控制。但似乎还有其他因素需要关注，例如缓存、性能或其他因素。

有人可以给我一些关于如何实现此功能以及如何将其应用到我的项目中的建议吗？更好一些示例项目。

多谢

Answer 1

我采用的方法几乎可以归结为一个访问控制列表，它是一系列键来表示访问类型以及一系列键类型的位值操作（读取、插入、修改和删除）。

整个站点通过使用 ajax 和 json 的 REST 风格 API 进行填充。每一项功能都包含一系列权限测试（我缓存了访问控制列表）。

示例场景：
用户（管理员）正在访问用户列表。

这将需要为正在执行的代码评估以下访问键和操作：

• 页面加载：
  • “/用户/列表”
    • 阅读
• REST API 访问：
  • “/用户/所有者”
    • 阅读
  • “/用户/NotOwner”
    • 阅读

，这些条件是与登录用户分配的角色以及与该角色关联的访问控制权限进行比较的。

通过存储在数据库中的访问列表和权限，用户可以更改分配给哪些角色的访问项目和操作。

因为您将赋予用户修改这些关联的能力，所以为每个访问控制项添加描述会非常有益。 >

祝你好运！