ASP.NET MVC 4 İzin Kodlarıyla Özel Yetkilendirme Özniteliği (roller olmadan)

121

Görünümlere erişimi, MVC 4 uygulamamda kullanıcıların ayrıcalık düzeylerine (roller yoktur, yalnızca kullanıcılara atanmış CRUD işlem düzeyleri için ayrıcalık düzeyleri) dayalı olarak kontrol etmem gerekiyor.

Örnek olarak; AuthorizeUser'ın altında benim özel özniteliğim olacak ve bunu şu şekilde kullanmam gerekiyor:

[AuthorizeUser(AccessLevels="Read Invoice, Update Invoice")]
public ActionResult UpdateInvoice(int invoiceId)
{
   // some code...
   return View();
}


[AuthorizeUser(AccessLevels="Create Invoice")]
public ActionResult CreateNewInvoice()
{
  // some code...
  return View();
}


[AuthorizeUser(AccessLevels="Delete Invoice")]
public ActionResult DeleteInvoice(int invoiceId)
{
  // some code...
  return View();
}

Bu şekilde yapmak mümkün mü?

asp.net-mvc-4 authorization custom-attributes

— chatura
kaynak

243

Bunu aşağıdaki gibi özel bir özellik ile yapabilirim.

[AuthorizeUser(AccessLevel = "Create")]
public ActionResult CreateNewInvoice()
{
    //...
    return View();
}

Özel Nitelik sınıfı aşağıdaki gibidir.

public class AuthorizeUserAttribute : AuthorizeAttribute
{
    // Custom property
    public string AccessLevel { get; set; }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var isAuthorized = base.AuthorizeCore(httpContext);
        if (!isAuthorized)
        {                
            return false;
        }

        string privilegeLevels = string.Join("", GetUserRights(httpContext.User.Identity.Name.ToString())); // Call another method to get rights of the user from DB

        return privilegeLevels.Contains(this.AccessLevel);           
    }
}

Özelliğinizde yetkisiz bir kullanıcıyı yöntemi AuthorisationAttributegeçersiz kılarak yeniden yönlendirebilirsiniz HandleUnauthorizedRequest:

protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
    filterContext.Result = new RedirectToRouteResult(
                new RouteValueDictionary(
                    new
                        { 
                            controller = "Error", 
                            action = "Unauthorised" 
                        })
                );
}

— chatura
kaynak

HandleUnauthorizedRequest örneğinizi denedim, ancak RouteValueDictionary belirttiğimde, sadece bana var olmayan bir rotayı yönlendiriyor. Kullanıcının erişmek istediği rotaya, kullanıcıyı yeniden yönlendirmek istediğim rotayı ekler ... si gibi bir şey alırım: localhost: 9999 / admin / İstediğimde home localhost: 9999 / Home

— Marin

1

@Marin RouteValueDictionary içine alan = string.Empty eklemeyi deneyin

— Alex

30

Olumlu oy veriyordum ama sonunda "if (condition) {return true;} else {return false;}"

— gördüm

1

@Emil String.Contains yönteminin bana verdiği boole değerini döndürürdüm. Ama bu alakasız, olumsuz oy vermedim, sadece hehe'ye oy vermedim.

— GabrielBB

2

.Name.ToString()Nameözellik zaten dize olduğundan gereksizdir

— FindOutIslamNow

13

İşte önceki için bir değişiklik. Cevap. Temel fark, kullanıcının kimliği doğrulanmadığında, oturum açma sayfasına yeniden yönlendirmek için orijinal "HandleUnauthorizedRequest" yöntemini kullanır:

   protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {

        if (filterContext.HttpContext.User.Identity.IsAuthenticated) {

            filterContext.Result = new RedirectToRouteResult(
                        new RouteValueDictionary(
                            new
                            {
                                controller = "Account",
                                action = "Unauthorised"
                            })
                        );
        }
        else
        {
             base.HandleUnauthorizedRequest(filterContext);
        }
    }

— Leonid Minkov
kaynak

3

Belki gelecekte bu herkes için yararlıdır, bunun gibi özel bir Yetkilendirme Özniteliği uyguladım:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class ClaimAuthorizeAttribute : AuthorizeAttribute, IAuthorizationFilter
{
    private readonly string _claim;

    public ClaimAuthorizeAttribute(string Claim)
    {
        _claim = Claim;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var user = context.HttpContext.User;
        if(user.Identity.IsAuthenticated && user.HasClaim(ClaimTypes.Name, _claim))
        {
            return;
        }

        context.Result = new ForbidResult();
    }
}

— RaphaelH
kaynak

0

WEB API'yi Talepler ile kullanıyorsanız, bunu kullanabilirsiniz:

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited = true, AllowMultiple = true)]
public class AutorizeCompanyAttribute:  AuthorizationFilterAttribute
{
    public string Company { get; set; }

    public override void OnAuthorization(HttpActionContext actionContext)
    {
        var claims = ((ClaimsIdentity)Thread.CurrentPrincipal.Identity);
        var claim = claims.Claims.Where(x => x.Type == "Company").FirstOrDefault();

        string privilegeLevels = string.Join("", claim.Value);        

        if (privilegeLevels.Contains(this.Company)==false)
        {
            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized, "Usuario de Empresa No Autorizado");
        }
    }
}
[HttpGet]
[AutorizeCompany(Company = "MyCompany")]
[Authorize(Roles ="SuperAdmin")]
public IEnumerable MyAction()
{....
}

— Maurico Bello
kaynak