ให้สิทธิ์แอตทริบิวต์ที่มีหลายบทบาท

Question 1

ฉันต้องการเพิ่มการอนุญาตให้กับคอนโทรลเลอร์สำหรับหลาย ๆ บทบาทพร้อมกัน

โดยปกติจะมีลักษณะดังนี้:

[Authorize(Roles = "RoleA,RoleB,RoleC")]
public async Task<ActionResult> Index()
{
}

แต่ฉันได้จัดเก็บบทบาทของฉันไว้ใน consts เนื่องจากอาจมีการเปลี่ยนแปลงหรือถูกขยายออกไป

public const RoleA = "RoleA";
public const RoleB = "RoleB";
public const RoleC = "RoleC";

ฉันไม่สามารถทำได้เนื่องจากต้องทราบสตริงในเวลาคอมไพล์:

[Authorize(Roles = string.join(",",RoleA,RoleB,RoleC)]
public async Task<ActionResult> Index()
{
}

มีวิธีหลีกเลี่ยงปัญหาหรือไม่?

ฉันสามารถเขียน const ซึ่งมีเพียง "RoleA, RoleB, RoleC" - แต่ฉันไม่ชอบสายเวทย์มนตร์และนี่คือสตริงเวทย์มนตร์ การเปลี่ยนชื่อบทบาทและลืมเปลี่ยนสตริงที่รวมกันอาจเป็นหายนะ

ฉันใช้ MVC5 ASP.NET Identity และ Role เป็นที่รู้จักในเวลาคอมไพล์

Question 2

พยายามที่จะสร้างแอตทริบิวต์อนุมัติกำหนดเองเช่นนี้

public class AuthorizeRolesAttribute : AuthorizeAttribute
{
    public AuthorizeRolesAttribute(params string[] roles) : base()
    {
        Roles = string.Join(",", roles);
    }
}

สมมติว่าบทบาทของคุณจะเหมือนกันสำหรับคอนโทรลเลอร์หลายตัวให้สร้างคลาสตัวช่วย:

public static class Role
{
    public const string Administrator = "Administrator";
    public const string Assistant = "Assistant";
}

จากนั้นใช้มันดังนี้:

public class MyController : Controller
{
    [AuthorizeRoles(Role.Administrator, Role.Assistant)]
    public ActionResult AdminOrAssistant()
    {                       
        return View();
    }
}

Question 3

ตรวจสอบให้แน่ใจว่าคุณกำลัง deriving ระดับแอตทริบิวต์ที่กำหนดเองของคุณปิดและไม่System.Web.Mvc.AuthorizeAttributeSystem.Web.Http.AuthorizeAttribute

ฉันพบปัญหาเดียวกัน เมื่อฉันเปลี่ยนมันทุกอย่างก็ใช้ได้

คุณอาจต้องการเพิ่มสิ่งต่อไปนี้ในคลาสแอตทริบิวต์ที่กำหนดเองของคุณ:

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited = true, AllowMultiple = true)]

Question 4

วิธีที่ดีที่สุดและง่ายที่สุดที่ฉันพบในการแก้ไขปัญหานี้คือการเชื่อมต่อบทบาทในแอตทริบิวต์ Authorize

[Authorize(Roles = CustomRoles.Admin + "," + CustomRoles.OtherRole)]

ด้วย CustomRole คลาสที่มีสตริงคงที่เช่นนี้:

public static class CustomRoles
{
    public const string Admin = "Admin";
    // and so on..
}

Question 5

สิ่งที่ฉันทำคือคำตอบใน @Tieson

ฉันปรับคำตอบของเขาเล็กน้อย แทนที่จะเป็นสตริงเข้าร่วมทำไมไม่แปลงเป็นรายการ?

นี่คือคำตอบของฉัน:

public class AuthorizeRolesAttribute : AuthorizeAttribute
{
    private new List<string> Roles;
    public AuthorizeRolesAttribute(params string[] roles) : base()
    {
        Roles = roles.toList()
    }
}

จากนั้นตรวจสอบว่าบทบาทนั้นถูกต้องในการลบล้าง OnAuthorization หรือไม่

public override void OnAuthorization(HttpActionContext actionContext)
{
            if (Roles == null)
                HandleUnauthorizedRequest(actionContext);
            else
            {
                ClaimsIdentity claimsIdentity = HttpContext.Current.User.Identity as ClaimsIdentity;
                string _role = claimsIdentity.FindFirst(ClaimTypes.Role).Value;
                bool isAuthorize = Roles.Any(role => role == _role);

                if(!isAuthorize)
                    HandleUnauthorizedRequest(actionContext);
            }
        }

และคุณมีแล้วขณะนี้กำลังตรวจสอบว่าบทบาทได้รับอนุญาตให้เข้าถึงทรัพยากรหรือไม่

Question 6

ฉันรู้สึกว่าแอตทริบิวต์การอนุญาตที่กำหนดเองนั้นเกินความจำเป็นสำหรับปัญหานี้เว้นแต่คุณจะมีบทบาทจำนวนมาก

เนื่องจากสตริงต้องเป็นที่รู้จักในเวลาคอมไพล์ทำไมไม่สร้างคลาส Role แบบคงที่ที่มีสตริงสาธารณะของบทบาทที่คุณกำหนดไว้จากนั้นเพิ่มสตริงที่คั่นด้วยเครื่องหมายจุลภาคด้วยบทบาทบางอย่างที่คุณต้องการอนุญาต:

public static class Roles
{
    public const string ADMIN = "Admin";
    public const string VIEWER = "Viewer";

    public const string ADMIN_OR_VIEWER = ADMIN + "," + VIEWER;
}

จากนั้นคุณสามารถใช้ Authorize Attribute เช่นนี้ใน Controller Class หรือ Controller Method (หรือทั้งสองอย่าง):

[Authorize(Roles = Roles.ADMIN]
public class ExampleController : Controller
{
    [Authorize(Roles = Roles.ADMIN_OR_VIEWER)
    public ActionResult Create()
    {
        ..code here...
    }
}