块基于用户角色调用类方法asp.net mvc 3

Question

我正在创建我的第一个 ASP.NET MVC 3 应用程序，但在根据用户角色创建类实例时遇到问题。

我有一个名为 Account 的类，它包含有关用户帐户的信息和一些允许我操作（更新）用户帐户信息的方法。例如 ChangeNickName、AddToGroup、RemoveFromGroup、Ban 等。

正如您所看到的，这些方法的问题是我不想允许任何人使用 AddToGroup 或 Ban 方法，而只允许具有指定角色的用户使用（我正在使用 ASP.NET 默认角色实现系统）

所以我想知道有没有一种方法可以将属性 [Authorize(Roles = "Admin")] 添加到我的 AddTogroupMethod 就像我在控制器方法上使用它一样

我知道，通过正确实现控制器，我不需要这样的东西，但我想确保我不允许任何人类的实例（或意外使用指定的方法）如果用户不属于指定角色。

因此，例如，如果我不小心在用户控制器中添加对 AddToGroup 方法的访问权限，我仍然能够阻止他们利用错误，因为附加到此方法的属性

如果我无法使用属性解决此问题，有没有办法使 VS如果我从 xy 类调用 AddToGroup 方法，则阻止我调试应用程序

如果您有任何想法如何使其工作，我愿意接受建议

比提前

Answer 1

您可能应该使用 AuthorizeAttribute，但是您可以使用 Roles.UserIsInRole 在代码中检查当前用户的角色。

MVC 中有一些关于此的信息（程序集似乎在 3.5/4.0 之间发生了变化）：

asp.net mvc -> Roles.IsUserInRole(用户名,角色)