我正在构建一个简单的CMS,其中角色在管理面板中动态设置.因此,授权控制器方法的现有方法,例如添加[Authorize(Roles =“admin”)]不再是足够的.角色动作关系必须存储在数据库中,以便最终用户可以轻松地在管理面板中向其他人授予/获取权限.我该如何实现?
解决方法
如果要控制授权过程,您应该将子类
AuthorizeAttribute覆盖
AuthorizeCore方法.然后只需用CmsAuthorizeAttribute来装饰你的控制器,而不是默认的.
public class CmsAuthorizeAttribute : AuthorizeAttribute
{
public override virtual bool AuthorizeCore(HttpContextBase httpContext)
{
IPrincipal user = httpContext.User;
IIdentity identity = user.Identity;
if (!identity.IsAuthenticated) {
return false;
}
bool isAuthorized = true;
// TODO: perform custom authorization against the CMS
return isAuthorized;
}
}
这样做的缺点是您无法访问ctor注入的IoC,因此您必须直接从容器请求任何依赖关系.
