如何根据我创建的自定义 UserRoles 表来保护某些操作不被使用

Question

这是用户和用户角色的基本数据库结构。

我的客户希望能够查看某个角色并勾选一些框，“此角色可以执行 x 、y 和 z"。 X、Y 和 Z 是应用程序中的一些操作。

这不是一个新想法，而且我确信这种情况有一个经过验证的模式。与 Wordpress 的做法类似，它选择角色 Foo 可以执行的功能，并且用户属于该角色。

关于 MVC3 特定解决方案有什么建议吗？

Answer 1

内置属性[Authorize]可让您限制某些操作，以便只能由某些角色执行。

对于您想要做的事情，我建议将“功能 X、Y 和 Z”视为角色，并将当前拥有的角色视为“用户组”或其他内容。因此，您的客户将能够为某些“角色”分配不同的“用户组”访问权限。

这样您就可以利用内置的成员资格/角色/授权内容。您需要做的就是实现您自己的 MembershipProvider 和 RoleProvider。

您的角色提供者实现 string[] GetRolesForUser(string username) 需要进行数据库查找以查看它们所在的“用户组”，从而了解哪个“角色” '他们有权访问。

如果这样做，您可以通过[Authorize]属性轻松限制对不同功能的访问，并使用标准会员资格来处理登录过程。

如果您的客户坚持将它们称为“角色”和“功能”而不是“用户组”和“角色” - 您无需告诉他这并不是您实现的方式:)

编辑

或者，您可以创建自己的授权属性，只需从 AuthorizeAttribute 派生，并覆盖 AuthorizeCore( HttpContextBase httpContext) 返回 true 或 false如果用户处于允许的角色中，则执行功能“X”