ASP.NET MVC 4 กำหนดสิทธิ์แอตทริบิวต์ด้วยรหัสสิทธิ์ (ไม่มีบทบาท)

121

ฉันต้องการควบคุมการเข้าถึงมุมมองตามระดับสิทธิ์ของผู้ใช้ (ไม่มีบทบาทมีเพียงระดับสิทธิ์สำหรับระดับการทำงาน CRUD ที่กำหนดให้กับผู้ใช้) ในแอปพลิเคชัน MVC 4 ของฉัน

ตัวอย่างเช่น; ด้านล่าง AuthorizeUser จะเป็นแอตทริบิวต์ที่กำหนดเองของฉันและฉันจำเป็นต้องใช้มันดังนี้:

[AuthorizeUser(AccessLevels="Read Invoice, Update Invoice")]
public ActionResult UpdateInvoice(int invoiceId)
{
   // some code...
   return View();
}


[AuthorizeUser(AccessLevels="Create Invoice")]
public ActionResult CreateNewInvoice()
{
  // some code...
  return View();
}


[AuthorizeUser(AccessLevels="Delete Invoice")]
public ActionResult DeleteInvoice(int invoiceId)
{
  // some code...
  return View();
}

เป็นไปได้ไหมที่จะทำด้วยวิธีนี้?

asp.net-mvc-4  authorization  custom-attributes 
chatura
แหล่งที่มา

คำตอบ:

243

ฉันสามารถทำได้ด้วยแอตทริบิวต์ที่กำหนดเองดังนี้

[AuthorizeUser(AccessLevel = "Create")]
public ActionResult CreateNewInvoice()
{
    //...
    return View();
}

คลาสแอตทริบิวต์ที่กำหนดเองดังนี้

public class AuthorizeUserAttribute : AuthorizeAttribute
{
    // Custom property
    public string AccessLevel { get; set; }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var isAuthorized = base.AuthorizeCore(httpContext);
        if (!isAuthorized)
        {                
            return false;
        }

        string privilegeLevels = string.Join("", GetUserRights(httpContext.User.Identity.Name.ToString())); // Call another method to get rights of the user from DB

        return privilegeLevels.Contains(this.AccessLevel);           
    }
}

คุณสามารถเปลี่ยนเส้นทางผู้ใช้ที่ไม่ได้รับอนุญาตในแบบกำหนดเองของคุณAuthorisationAttributeโดยการลบล้างHandleUnauthorizedRequestเมธอด:

protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
    filterContext.Result = new RedirectToRouteResult(
                new RouteValueDictionary(
                    new
                        { 
                            controller = "Error", 
                            action = "Unauthorised" 
                        })
                );
}
chatura
แหล่งที่มา
ฉันได้ลองตัวอย่าง HandleUnauthorizedRequest ของคุณแล้ว แต่เมื่อฉันระบุ RouteValueDictionary มันก็แค่เปลี่ยนเส้นทางให้ฉันเป็นเส้นทางที่ไม่มีอยู่จริง มันผนวกเส้นทางที่ฉันต้องการเปลี่ยนเส้นทางผู้ใช้ไปยังเส้นทางที่ผู้ใช้ต้องการเข้าถึง ... ฉันได้รับสิ่งที่ต้องการ: localhost: 9999 / admin / Home เมื่อฉันต้องการ localhost: 9999 / Home
Marin
1
@Marin ลองเพิ่ม area = string ว่างใน RouteValueDictionary
Alex
30
ฉันกำลังโหวตขึ้น แต่แล้วฉันก็เห็น "if (condition) {return true;} else {return false;}" ในตอนท้าย ....
GabrielBB
1
@Emil ฉันแค่คืนค่าบูลีนที่เมธอด String.Contains ให้ฉัน แต่นี่ไม่เกี่ยวข้องฉันไม่ได้ลงคะแนนฉันไม่ได้โหวตฮิฮิ
GabrielBB
2
.Name.ToString()ซ้ำซ้อนเนื่องจากNameคุณสมบัติเป็นสตริงแล้ว
FindOutIslamNow
13

นี่คือการปรับเปลี่ยนสำหรับก่อนหน้านี้ ตอบ. ความแตกต่างที่สำคัญคือเมื่อผู้ใช้ไม่ได้รับการรับรองความถูกต้องจะใช้เมธอด "HandleUnauthorizedRequest" ดั้งเดิมเพื่อเปลี่ยนเส้นทางไปยังหน้าล็อกอิน:

   protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {

        if (filterContext.HttpContext.User.Identity.IsAuthenticated) {

            filterContext.Result = new RedirectToRouteResult(
                        new RouteValueDictionary(
                            new
                            {
                                controller = "Account",
                                action = "Unauthorised"
                            })
                        );
        }
        else
        {
             base.HandleUnauthorizedRequest(filterContext);
        }
    }
Leonid Minkov
แหล่งที่มา
3

บางทีนี่อาจเป็นประโยชน์สำหรับทุกคนในอนาคตฉันได้ติดตั้ง Authorize Attribute แบบกำหนดเองดังนี้:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class ClaimAuthorizeAttribute : AuthorizeAttribute, IAuthorizationFilter
{
    private readonly string _claim;

    public ClaimAuthorizeAttribute(string Claim)
    {
        _claim = Claim;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var user = context.HttpContext.User;
        if(user.Identity.IsAuthenticated && user.HasClaim(ClaimTypes.Name, _claim))
        {
            return;
        }

        context.Result = new ForbidResult();
    }
}
RaphaelH
แหล่งที่มา
0

หากคุณใช้ WEB API กับการอ้างสิทธิ์คุณสามารถใช้สิ่งนี้:

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited = true, AllowMultiple = true)]
public class AutorizeCompanyAttribute:  AuthorizationFilterAttribute
{
    public string Company { get; set; }

    public override void OnAuthorization(HttpActionContext actionContext)
    {
        var claims = ((ClaimsIdentity)Thread.CurrentPrincipal.Identity);
        var claim = claims.Claims.Where(x => x.Type == "Company").FirstOrDefault();

        string privilegeLevels = string.Join("", claim.Value);        

        if (privilegeLevels.Contains(this.Company)==false)
        {
            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized, "Usuario de Empresa No Autorizado");
        }
    }
}
[HttpGet]
[AutorizeCompany(Company = "MyCompany")]
[Authorize(Roles ="SuperAdmin")]
public IEnumerable MyAction()
{....
}
Maurico Bello
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.