gpt4 book ai didi

c# - 记录级授权的 MVC/ASP.Net 最佳实践

转载 作者:太空狗 更新时间:2023-10-29 20:39:17 26 4
gpt4 key购买 nike

对于在 ASP.Net MVC 网站中执行记录级授权同时保持关注点分离的良好方法,有没有人有任何建议?

使用 PrincipalPermission,您可以使用以下方法装饰方法:

PrincipalPermission(SecurityAction.Demand, Role = "GroupLeader")

要求该页面的任何访问者都是固定角色“GroupLeader”的成员。

或者,你可以装饰一个方法:

[ClaimsPrincipalPermission(SecurityAction.Demand, Operation = "Manage", Resource = "Group")]

要求一般允许该页面的任何访问者管理一个组。

但是,这些都没有真正解决用户可能有权编辑某些组但没有其他组的情况。据我所知,即使我实现了自定义 ClaimsAuthorizationManager,也无法访问方法参数以进行条件授权。

此外,如果用户没有访问权限,上述两种方法都只是抛出一个SecurityException,而不是允许一种方法优雅地将用户重定向到一个页面,该页面解释了发生了什么以及他们可能会发生什么做以获得必要的授权。

显然,我也意识到我可以将授权逻辑编码到方法本身并相应地重定向,但我宁愿将其分离出来,如果可能的话,并保持方法代码干净以仅处理实际处理请求并且还能够在可以更普遍应用的框架内工作。

那么,是否有一种“开箱即用”的方式来处理这种情况,或者我是否必须实现自定义 IAuthorizationFilter?我认为我可以同时处理记录级别的授权和优雅的重定向,但是如果方法级别没有任何参数,它本质上将是一个巨大的 if ... else if 语句。

最佳答案

处理这种情况最直接的方法是在您的实体上创建一个属性来存储实体的“所有者”或“创建者”。然后,当您查询对象时,您可以以此进行过滤。例如:

public class Foo
{
public int Id { get; set; }

...

public string Creator { get; set; }
}

然后:

public ActionResult FooDetails(int id)
{
var foo = db.Foos.SingleOrDefault(m => m.Id == id && m.Creator == User.Identity.Name);
if (foo == null)
{
return new HttpNotFoundResult();
}

return View(foo);
}

通过授权过滤器处理这个问题并不合适,因为您必须选择行来确定用户的权限。然后,您必须在操作中再次选择该行以将其发送到 View 。此外,您还必须做一些杂技来让过滤器能够知道它应该如何从哪里选择什么,这样您甚至可以首先检查权限。在操作中,您已经在选择实体,因此只需根据用户是否同时“拥有”它来设置条件。

关于c# - 记录级授权的 MVC/ASP.Net 最佳实践,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25998828/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com