1)我正在使用自定义身份验证提供程序的表单身份验证.所以我仍然使用Authorize属性和web.config中的部分,但基本上当FormsAuthenticationTicket不存在时,我重定向到登录页面(在web.config中指定),然后利用自定义身份验证提供程序来授权用户对数据库然后发出FormsAuthenticationTicket.它是否正确?
2)我应该使用自定义Authorize属性还是应该从Global.asax页面中的Application_AuthenticateRequest事件处理程序中将GenericPrincipal注入HttpContext?或者我应该使用控制器操作的User.IsInRole insode?
我只需要基于角色的授权,我认为我的身份验证方案非常好.
任何指针/建议?
谢谢,
山姆
编辑
因此,根据我的阅读,最好的选择是创建自定义AuthorizeAttribute并覆盖AuthorizeCore.
所以我做的是这样的:
public class CustomAuthorize : System.Web.Mvc.AuthorizeAttribute { protected override bool AuthorizeCore(HttpContextBase httpContext) { if (httpContext.User.Identity.IsAuthenticated) { var model = AdminUserviewmodel.FromJsonString(((FormsIdentity)httpContext.User.Identity).Ticket.UserData); httpContext.User = new GenericPrincipal(HttpContext.Current.User.Identity,model.SecurityGroups.Select(x => x.Name).ToArray()); } return base.AuthorizeCore(httpContext); } protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext) { //base.HandleUnauthorizedRequest(filterContext); filterContext.Result = new System.Web.Mvc.RedirectResult("/Authentication/NotAuthorized",false); } }
只需使用存储在FormsAuthenticationTicket UserData属性中的角色注入新的主体/标识.然后让基地做其余的事情.
这看起来好吗?
编辑#2
我对使用IIS7的global.asax中的Application_AuthenticateRequest感到有点厌倦,因为集成管道,每个请求都会触发该事件,图像,css,js ……
它是否正确?
解决方法
2)我使用Authorize属性和Application_AuthenticateRequest事件处理程序.
在Application_AuthenticateRequest事件处理程序中,我执行以下操作:
string[] roles = authenticationTicket.UserData.Split(',');
if (Context.User != null)
Context.User = new GenericPrincipal(Context.User.Identity,roles);
在控制器或动作级别,我做这样的事情:
[Authorize(Roles = "Admin,SuperAdmin")]
原文地址:https://www.jb51.cc/aspnet/247114.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
