在 ASP.NET MVC 3 中实现访问控制

Question

我正在 ASP.NET MVC 3 中编写一个基于角色的应用程序。显然，根据用户所处的角色，将取决于他们有权访问哪些页面或功能。我不太确定在 MVC 应用程序中实现此功能的最佳位置或方法。任何信息或某些资源的指向将不胜感激。

提前致谢。

Answer 1

如果您想实现自己的会员系统，那么您可以按照以下步骤操作：

1. 将 HttpModule（继承自 IHttpModule 的类）以安全请求（您想要为其定义访问控制的请求）的方式放置
2. 在该模块中，创建一个处理程序AuthenticateRequest 事件
3. 在该处理程序中，检查请求中的身份验证 Cookie。该 cookie 可以是您的，或者您可以使用 FormsAuthentication 类为您创建、加密和解密 cookie。
4. 如果 cookie 存在，则加载用户的角色，并将它们作为键/值对存储在 HttpContext.Current.Items 中。这样，您就可以在任何您想要的地方使用它。
5. 如果没有，则将用户重定向到登录页面。登录页面的地址可以从settings或web.config中获取。
6. 在登录页面中，获取用户的登录信息，包括用户名和密码，然后创建一个Authentication Cookie并发送给客户端。

Answer 2

Membership Provider 内置于 .NET 中，可以从 MVC3 中使用。我链接到的帖子概述了如何使用 .NET 框架附带的默认实现，可以 创建您自己的，但我建议首先熟悉默认值。