c# – 如何在控制器和操作级别使用Authorize属性?

前端之家收集整理的这篇文章主要介绍了c# – 如何在控制器和操作级别使用Authorize属性?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我已经实现了自己的自定义Authorize属性.

属性既适用于控制器级别,也适用于操作级别.

这是我需要做的一个例子:

  1. [ClaimsAuthorize(Roles = "AdvancedUsers")]
  2. public class SecurityController : Controller
  3. {
  4. [ClaimsAuthorize(Roles = "Administrators")]
  5. public ActionResult AdministrativeTask()
  6. {
  7. return View();
  8. }
  9.  
  10. public ActionResult SomeOtherAction()
  11. {
  12. return View();
  13. }
  14. }

目前,如果用户具有管理员角色但不具有AdvancedUsers角色,则他无法执行“管理任务”.

即使用户未在控制器级别授权,如何更改此行为以在操作级别执行安全检查?

目前,我能想到的唯一解决方案是实现2个属性:一个用于保护控制器,另一个用于保护操作.然后我将使用Order属性首先在动作级别执行一个.

但是,如果可能的话,我更喜欢具有单个属性解决方案.

解决方法

这不应该是可能的.想象一下MVC与授权过滤器一起使用的逻辑.

>确定控制器后 – 检查是否存在适用于该控制器的授权过滤器并执行该过滤器.
>当操作已知时 – 对操作执行相同操作.

在所有情况下,授权失败都会使管道短路.

猜你在找的C#相关文章