ASP.NET MVC 3自定义身份验证/授权

前端之家收集整理的这篇文章主要介绍了ASP.NET MVC 3自定义身份验证/授权前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我已经在互联网上搜索了所有内容,我在这个主题上找到了一些好的东西,但我还有一些问题,我仍然不确定:

1)我正在使用自定义身份验证提供程序的表单身份验证.所以我仍然使用Authorize属性和web.config中的部分,但基本上当FormsAuthenticationTicket不存在时,我重定向登录页面(在web.config中指定),然后利用自定义身份验证提供程序来授权用户数据库然后发出FormsAuthenticationTicket.它是否正确?

2)我应该使用自定义Authorize属性还是应该从Global.asax页面中的Application_AuthenticateRequest事件处理程序中将GenericPrincipal注入HttpContext?或者我应该使用控制器操作的User.IsInRole insode?

我只需要基于角色的授权,我认为我的身份验证方案非常好.

任何指针/建议?

谢谢,
山姆

编辑

因此,根据我的阅读,最好的选择是创建自定义AuthorizeAttribute并覆盖AuthorizeCore.

所以我做的是这样的:

public class CustomAuthorize : System.Web.Mvc.AuthorizeAttribute
    {
        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            if (httpContext.User.Identity.IsAuthenticated)
            {
                var model = AdminUserviewmodel.FromJsonString(((FormsIdentity)httpContext.User.Identity).Ticket.UserData);
                httpContext.User = new GenericPrincipal(HttpContext.Current.User.Identity,model.SecurityGroups.Select(x => x.Name).ToArray());
            }
            return base.AuthorizeCore(httpContext);
        }

        protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
        {
            //base.HandleUnauthorizedRequest(filterContext);
            filterContext.Result = new System.Web.Mvc.RedirectResult("/Authentication/NotAuthorized",false);
        }
    }

只需使用存储在FormsAuthenticationTicket UserData属性中的角色注入新的主体/标识.然后让基地做其余的事情.

这看起来好吗?

编辑#2

我对使用IIS7的global.asax中的Application_AuthenticateRequest感到有点厌倦,因为集成管道,每个请求都会触发该事件,图像,css,js ……

它是否正确?

解决方法

1)我做同样的事情.

2)我使用Authorize属性和Application_AuthenticateRequest事件处理程序.

在Application_AuthenticateRequest事件处理程序中,我执行以下操作:

string[] roles = authenticationTicket.UserData.Split(',');

    if (Context.User != null)
        Context.User = new GenericPrincipal(Context.User.Identity,roles);

在控制器或动作级别,我做这样的事情:

[Authorize(Roles = "Admin,SuperAdmin")]

猜你在找的asp.Net相关文章