我看过这样的示例代码,看起来非常合理:
[Authorize(Roles = "Admin,User")] public class SomeController : Controller
但我也看到了几个看起来像这样的例子:
[Authorize(Users = "Charles,Linus")] public class SomeController : Controller
我为什么要这样做?我无法想象任何我想要建立一个事先了解其用户名的系统的场景.
解决方法
这有一些合法的用途,这里有一个例子:如果你正在建立一个非常简单的网站,只有一个管理员帐户和一个未经身份验证的帐户,你可以做
[Authorize(Users = "Admin")]
这样可以省去为单个用户构建角色的麻烦.想想UNIX风格,其中root帐户(uid 0)是特殊的而不是特定的组.
另一个例子就是一个扔掉的应用程序,你正在测试一些东西.如果您只是想测试您的身份验证页面或类似的东西,没有理由去担心角色.
还有一个原因:测试.您可以为您的身份验证构建单元测试,而无需对基于角色的框架进行单元测试. (请记住,并非所有人都使用默认成员资格提供程序,并且某些成员资格提供程序非常复杂.)通过为测试用户创建硬编码身份验证,您可以绕过角色框架.
