ASP.NET MVC3 角色和权限管理 ->具有运行时权限分配

Question

ASP.NET MVC 允许用户在设计时为功能（即操作）分配权限，如下所示。

[Authorize(Roles = "Administrator,ContentEditor")]
public ActionResult Foo()
{
    return View();
}

要实际检查权限，可以在 (Razor) 视图中使用以下语句：

@if (User.IsInRole("ContentEditor"))
{
    <div>This will be visible only to users in the ContentEditor role.</div>
}

这种方法的问题是所有权限必须在设计时设置并分配为属性 /em>。 （以允许附加权限）的机制，例如 [Authorize(Roles = "Administrator,ContentEditor")]。

（属性是与 DLL 一起编译的，因此我目前不知道在运行时应用属性 在我们的用例中，客户端需要能够在部署后更改哪些用户拥有哪些权限，

例如，客户端可能希望允许具有 ContentEditor 角色的用户执行以下操作：编辑特定内容的某些内容可能不允许用户编辑查找表值，但现在客户端希望允许此操作而不授予用户所有下一个更高角色的权限，相反，客户端只想。 em>修改用户当前角色可用的权限

可以使用哪些策略来允许在外部定义 MVC 控制器/视图/操作的权限。属性（如在数据库中）并评估和应用

如果可能的话，我们非常希望尽可能地坚持 ASP.NET 成员资格和角色提供程序功能，以便我们可以继续利用它提供的其他好处。

预先感谢您的任何想法或见解。

Answer 1

可使用哪些策略来允许 MVC 上的权限
在属性之外定义的控制器/视图/操作（如在
数据库）并在运行时评估和应用？

自定义 Authorize 属性是实现此目的的一种可能性：

public class MyAuthorizeAttribute : AuthorizeAttribute
{
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        Roles = ... go ahead and fetch those roles dynamically from wherever they are stored
        return base.AuthorizeCore(httpContext);
    }
}

然后：

[MyAuthorize]
public ActionResult Foo()
{
    return View();
}

Answer 2

由于我很懒，所以我懒得滚动自己的属性，并为此使用 FluentSecurity 。除了能够在运行时应用规则之外，它还允许以自定义方式检查角色成员资格。就我而言，我为每个角色都有一个配置文件设置，然后我实现如下所示的内容；

// Map application roles to configuration settings
private static readonly Dictionary<ApplicationRole, string> 
    RoleToConfigurationMapper = new Dictionary<ApplicationRole, string>
        {
            { ApplicationRole.ExceptionLogViewer, "ExceptionLogViewerGroups" }
        };

然后像这样应用应用程序角色

SecurityConfigurator.Configure(
    configuration =>
    {
        configuration.GetAuthenticationStatusFrom(() =>
            HttpContext.Current.User.Identity.IsAuthenticated);
        configuration.GetRolesFrom(() => 
            GetApplicationRolesForPrincipal(HttpContext.Current.User));
        configuration.ForAllControllers().DenyAnonymousAccess();
        configuration.For<Areas.Administration.Controllers.LogViewerController>()
            .RequireRole(ApplicationRole.ExceptionLogViewer);
    });

filters.Add(new HandleSecurityAttribute());

，然后由您执行检查

public static object[] GetApplicationRolesForPrincipal(IPrincipal principal)
{
    if (principal == null)
    {
        return new object[0];
    }

    List<object> roles = new List<object>();
    foreach (KeyValuePair<ApplicationRole, string> configurationMap in
             RoleToConfigurationMapper)
    {
        string mappedRoles = (string)Properties.Settings.Default[configurationMap.Value];

        if (string.IsNullOrEmpty(mappedRoles))
        {
            continue;
        }

        string[] individualRoles = mappedRoles.Split(',');
        foreach (string indvidualRole in individualRoles)
        {
            if (!roles.Contains(configurationMap.Key) && principal.IsInRole(indvidualRole))
            {
                roles.Add(configurationMap.Key);
                if (!roles.Contains(ApplicationRole.AnyAdministrationFunction))
                {
                    roles.Add(ApplicationRole.AnyAdministrationFunction);
                }
            }
        }
    }

    return roles.ToArray();
}

。您当然可以从数据库中提取角色。这样做的好处是我可以在开发过程中应用不同的规则，而且有人已经为我完成了艰苦的工作！

Answer 3

您还可以考虑执行基于任务/活动的安全性，并动态地将执行这些任务的权限分配给不同的组

http://lostechies.com/derickbailey/2011/05/24/dont-do-role-based-authorization-checks-do-activity-based-checks/

您需要稍微修改提供程序以处理此问题，但可以与 .net 授权保持一致

http://www.lhotka.net/weblog/PermissionbasedAuthorizationVsRolebasedAuthorization.aspx

Answer 4

如果您需要进行基于方法或控制器的授权（拒绝访问整个方法或控制器），那么您可以覆盖控制器库中的 OnAuthorization 并进行您自己的授权。然后，您可以构建一个表来查找分配给该控制器/方法的权限并从那里开始。

您还可以进行自定义全局过滤器，这非常相似。

使用第二种方法的另一种选择是这样说：

@if (User.IsInRole(Model.MethodRoles)) 
{ 
    <div>This will be visible only to users in the ContentEditor role.</div> 
} 

然后在控制器中使用分配给该方法的角色填充 MethodRoles。