随笔 - 435  文章 - 0  评论 - 111  阅读 - 62万 

MVC,重写AuthorizeAttribute实现自己的权限验证(一)

我们要实现下面的效果,某个controller,只允许某几个角色访问(admin,user,document controller)

[MyAuthorize(Roles = "Admin,User,Document Controller")]
    public class ClassController : Controller

 

首先, 登录的时候,要把用户的角色从DB拿出来,放到FormsAuthenticationTicketUserData里. (假设我们使用Form认证)

复制代码
 var roles = db.TN_Role.Where(t => t.User_Code.Equals(UserCode)).ToList();
                        if (roles == null)
                            return false;
                        else
                        {
                            foreach (var role in roles)
                            {
                                if (role.Company_ID.Equals(CompanyId) || role.Company_ID == null)
                                {
                                    Session["Role"] = role.Role;
                                    var authTicket = new FormsAuthenticationTicket(
                                                        1,
                                                        UserCode,
                                                        DateTime.Now,
                                                        DateTime.Now.AddMinutes(30), // expiry
                                                        false,
                                                        role.Role,
                                                        "/");
                                    var cookie = new HttpCookie(FormsAuthentication.FormsCookieName,
                                                                FormsAuthentication.Encrypt(authTicket));
                                    Response.Cookies.Add(cookie);
                                    Response.Cookies.Set(new HttpCookie("Company", CompanyId.ToString()));

                                    return true;
                                }
                            }
                            return false;
                        }
复制代码

重写AuthorizeAttribute

复制代码
    [AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited = true, AllowMultiple = true)]
    public class MyAuthorizeAttribute : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            string cookieName = FormsAuthentication.FormsCookieName;

            if (!filterContext.HttpContext.User.Identity.IsAuthenticated ||
                filterContext.HttpContext.Request.Cookies == null ||
                filterContext.HttpContext.Request.Cookies[cookieName] == null
            )
            {
                HandleUnauthorizedRequest(filterContext);
                return;
            }

            var authCookie = filterContext.HttpContext.Request.Cookies[cookieName];
            var authTicket = FormsAuthentication.Decrypt(authCookie.Value);
            string[] roles = authTicket.UserData.Split(',');

            var userIdentity = new GenericIdentity(authTicket.Name);
            var userPrincipal = new GenericPrincipal(userIdentity, roles);

            filterContext.HttpContext.User = userPrincipal;
            base.OnAuthorization(filterContext);
        }
    }
复制代码

 

这个方法的缺陷: 只适合权限比较简单的情况. 当新增角色或者角色改变时,只能修改每个Action对应的特性,当项目较大时工作量也很大.

 

posted on   Gu  阅读(3801)  评论(0编辑  收藏  举报
编辑推荐:
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
阅读排行:
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本
· C#/.NET/.NET Core优秀项目和框架2025年2月简报
· 什么是nginx的强缓存和协商缓存
· 一文读懂知识蒸馏
· Manus爆火,是硬核还是营销?
点击右上角即可分享
微信分享提示