ASP.NET MVC 2 Authorize - 自定义Authorize的实现

最新推荐文章于 2024-05-12 20:32:47 发布
最新推荐文章于 2024-05-12 20:32:47 发布
阅读量1.1w 收藏 4
点赞数
分类专栏: C# C# - ASP.NET - MVC C# - ASP.NET 文章标签: asp.net mvc authorization authentication user webform

ASP.NET MVC 2 Authorize - 自定义Authorize的实现

 

 

本文主要是转载的,通过这个小例子可以轻松自定义你的Authorize权限控制,因为我不是特别了解ASP.NET WebForm的MemberShip的实现机制,也不敢说自定义的性能是否过关,目前使用自定义的比较顺手。

 

 

转自:

=====================================================================

 

在ASP.NET MVC2中使用自定义的AuthorizeAttribute绕过内置的Membership/Role机制 

// 所有原创文章转载请注明作者及链接
// blackboycpp(AT)gmail.com
// QQ群: 135202158

感谢 DSO at http://stackoverflow.com/users/38087/DSO

在ASP.NET MVC2中,我们可以使用Authorize Filter限制用户对内容的访问,如

view plain copy to clipboard print ?
  1. [Authorize]  
  2. public class MyController : Controller  
  3. {   
  4.    // ...   
  5. }  
  6. // 或者  
  7. [Authorize(Roles="Admin")]  
  8. public class MyController : Controller  
  9. {   
  10.    // ...   
  11. }  

 

但前提是要用到Membership / Role机制。 我们要不就使用内置的机制,要不就派生出自己的。

不管怎样,都比较麻烦,其实我们可以绕过这套机制,而且还能使用AuthorizeAttribute。

以下是DSO的看法:

With MVC it is simple to bypass the Membership and Role provider framework altogether. Sometimes it is easier to do this than to implement custom Membership/Role providers, in particular if your authn/authz model doesn't quite fit the mold of those providers.

First, you should realize that you don't need to write everything from scratch, you can use the core Forms authentication API, which can be used independently of the Membership/Role provider framework:

  • FormsAuthentication.SetAuthCookie - Call this after user has been authenticated, specify the user name
  • Request.IsAuthenticated - Returns true if SetAuthCookie was called
  • HttpContext.Current.User.Identity.Name - Returns the user name specified in the call to SetAuthCookie

So here is what you do in MVC to bypass the Membership/Role provider:

  1. Authentication : In your controller, authenticate the user using your custom logic.If successful, call FormsAuthentication.SetAuthCookie with the user name.

  2. Authorization : Create a custom authorize attribute (deriving from AuthorizeAttribute) . In the AuthorizeCore override, implement your custom authorization logic, taking the user in HttpContext.Current.User.Identity.Name and the roles defined in the Roles property of the AuthorizeAttribute base class. Note you can also define properties on your custom authorization attribute and use that in your authorization logic. For example you can define a property representing roles as enumerated values specific to your app, instead of using the Roles property which is just a string.

  3. Affix your controllers and actions with your custom authorize attribute, instead of the default Authorize attribute.

我看了感觉很受启发,但却不太清楚如何重载AuthorizeAttribute的AuthorizeCore方法。为此我做了个Demo:

1. 使用VS2010建立一个ASP.NET MVC2 Web工程Aut,在Model目录下新建一个MyAuthAttribute类,如下:

 

view plain copy to clipboard print ?
  1. using System;  
  2. using System.Collections.Generic;  
  3. using System.Linq;  
  4. using System.Web;  
  5. using System.Web.Mvc;  
  6. namespace AuthTest.Models  
  7. {  
  8.     public class MyAuthAttribute : AuthorizeAttribute  
  9.     {  
  10.         // 只需重载此方法,模拟自定义的角色授权机制  
  11.         protected override bool AuthorizeCore(HttpContextBase httpContext)  
  12.         {  
  13.             string currentRole = GetRole(httpContext.User.Identity.Name);  
  14.             if(Roles.Contains(currentRole ) )  
  15.                 return true;  
  16.             return base.AuthorizeCore(httpContext);  
  17.         }  
  18.   
  19.         // 返回用户对应的角色, 在实际中, 可以从SQL数据库中读取用户的角色信息  
  20.         private string GetRole(string name)  
  21.         {  
  22.             switch(name)  
  23.             {  
  24.                 case "aaa":  return "User";  
  25.                 case "bbb"return "Admin";  
  26.                 case "ccc"return "God";  
  27.                 defaultreturn "Fool";  
  28.             }  
  29.         }  
  30.     }  
  31.   
  32. }  

 

2. 修改HomeController, 如下

 

view plain copy to clipboard print ?
  1. using System;  
  2. using System.Collections.Generic;  
  3. using System.Linq;  
  4. using System.Web;  
  5. using System.Web.Mvc;  
  6. using System.Web.Security;  
  7. using AuthTest.Models;  
  8. namespace AuthTest.Controllers  
  9. {  
  10.     [HandleError]  
  11.     public class HomeController : Controller  
  12.     {  
  13.         public ActionResult Index()  
  14.         {  
  15.             ViewData["Message"] = "欢迎使用 ASP.NET MVC!";  
  16.             // 模拟用户成功登录  
  17.             FormsAuthentication.SetAuthCookie("aaa"false);  
  18.             return View();  
  19.         }  
  20.   
  21.         // 验证我们自定义的AuthorizeAttribute是否起作用,   
  22.          // 此Action只能由角色为“God”的用户访问  
  23.         [MyAuth(Roles="God")]  
  24.         public ActionResult About()  
  25.         {  
  26.             return View();  
  27.         }  
  28.     }  
  29. }  

 

3. 按F5调试,再点击页面上的“关于”链接,哈哈,知道了吧?

cs_victor
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ASP.NET MVC2中使用自定义AuthorizeAttribute绕过内置的Membership/Role机制
blackboy的技术博客
12-03 7839
ASP.NET MVC2, Authentication, Authorization, Authorize, Membership, Role, Custom AuthorizeAttribute
[Asp.Net MVC4]验证用户登录实现实例
10-20
Asp.Net MVC4中,实现用户登录验证是构建任何Web应用程序的重要部分,特别是涉及到用户交互和安全性。本文将深入探讨如何在MVC4框架下创建一个完整的用户登录验证实例。 首先,我们要创建数据库和相应的用户表。...
Asp.net Mvc Authorize 详细说明.docx
07-27
Asp.net Mvc Authorize可以简单的进行用户登录验证与授权,简单好用。但是详细资源有限,好多网上的资料不是不全,就是不能运行,经过多方搜集与整理,归纳出了 这方面的详细资料,提供给同人,希望减轻搜索资料的工作量。
AspNet MVC4 教学-11:Asp.Net MVC4 默认Authorize自定义Authorize快速Demo
格码老师教编程
05-07 5731
Asp.Net MVC4 默认Authorize自定义Authorize快速Demo
.NET应用程序实现身份验证和授权
最新发布
wangnanofspirit的博客
05-12 439
在.NET应用程序中实现身份验证(Authentication)和授权(Authorization)的常见方法通常依赖于多种技术和框架,这些技术和框架共同确保了应用程序的安全性。
ASP.NET MVC 2 方法名上面加 Authorize 的作用
先知的程序
10-22 2690
ASP.NET MVC2中,我们可以使用Authorize Filter限制用户对内容的访问,如 [Authorize]         [AcceptVerbs(HttpVerbs.Post)]         public ActionResult Edit(string EmployeeCode, TZP_EmployeeMSG msg)         {
ASP.NET身份验证机制membership入门——项目
07-31 393
<br /> 前面说了很多关于membership的内容,感觉内容有点凌乱,内容都是一个个知识点,下面我们通过一个小的项目,来把所有的相关内容串一下。 <br /> <br />  首先描述一下需求:<br />  我们要做一个最简单的网站。有三类用户:匿名用户,员工,管理员,网站结构如下:<br />     <br />     admin目录下的页面只允许admin角色的用户访问,employee目录下的页面只允许emp角色的用户访问。Default.aspx允许所有用户访问。Login.aspx
.Net-MVC框架-基础知识.pptx
10-29
ASP.NET MVC是一个基于模型-视图-控制器(MVC)设计模式的开源Web应用程序框架,由微软开发。MVC模式将应用程序分为三个主要组件:模型(Model)、视图(View)和控制器(Controller),旨在提高代码的可测试性和可...
详解ASP.NET MVC Form表单验证
10-22
综上所述,ASP.NET MVC Form表单验证是一个涉及客户端和服务器端交互的过程,通过数据注解、自定义验证以及权限控制,确保了Web应用程序的安全性和数据的准确性。结合配置文件进行权限管理,可以提供更加灵活和可...
ASP.NET MVC应用程序中有关自定义表单身份验证的初学者教程
04-11
在这个初学者教程中,我们将深入探讨如何在ASP.NET MVC应用中实现自定义的表单身份验证,这是一项核心的安全功能,用于保护网站内容并确保用户数据的安全。 **表单身份验证**是Web开发中的一个关键概念,它允许用户...
asp.net mvc5 源码
03-07
ASP.NET MVC5支持依赖注入(DI),这有助于实现松耦合和单元测试。通过`Global.asax.cs`中的`RegisterDependencyResolver`方法,可以配置自定义的依赖解析器,如Unity、Autofac或Ninject。 **八、 Areas与多项目...
ASP.net MVC SportsStore项目开发六
07-06
通过完成这些步骤,ASP.NET MVC SportsStore项目不仅能实现预期功能,而且会在安全性和稳定性方面达到高标准,为用户提供可靠且愉快的体验。这个项目实战可以帮助开发者巩固理论知识,并提升实际操作能力。
ASP.NET MVC实现基于角色的权限控制的处理方法
01-01
但是,我们在实际的应用中所使用的大都是基于角色(Roles)的认证方式,NeedDinner中却未给出,本文给出具体实现(基于ASP.NET Forms验证)过程: step 1在完成UserName和Password认证后,向客户端写
ASP.NET MVC5认证授权实例
08-25
在这个实例中,我们将探讨的是如何在ASP.NET MVC5中实现认证和授权,这是Web开发中的关键安全环节。 认证是识别用户身份的过程,而在ASP.NET MVC5中,我们可以使用内置的身份验证系统,它支持多种认证模式,如Forms...
实施安全的ASP.NET MVC应用程序
04-11
ASP.NET MVC中,可以使用`AccountController`和默认的登录视图模板来轻松实现这一点。 其次,**授权** 控制着谁可以访问哪些资源。ASP.NET MVC提供角色基础的授权和基于声明的授权。角色基础的授权允许你根据用户...
ASP.NET MVC应用程序中基于自定义角色的访问控制(RBAC)-第3部分(扩展ASP.NET Identity 2.0)
04-08
ASP.NET MVC应用程序中,基于自定义角色的访问控制(Role-Based Access Control,简称RBAC)是实现安全性的重要手段。本篇文章将深入探讨如何利用ASP.NET Identity 2.0框架来扩展并集成自定义角色的访问控制。ASP...
MVC 自定义AuthorizeAttribute实现权限管理
北极星的专栏
08-10 6133
MVCAuthorizeAttribute用法并实现授权管理 (2015-01-05 13:49:30) 转载▼ 标签: authorizeattribute handleunauthorized authorizecore 分类: MVC  MVCAuthorizeAttribute用法并实现授权管理   1.创建一个类(用
MVC中方便的[Authorize],加上这特性,就可以加上登录验证
weixin_44019016的博客
07-24 2739
之前不知道有这个特性,还翻查代码,找各种方法 实现访问某些控制器,需要登录 方法如下: using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; using Microsoft.AspNet.Identity;...
ASP.NET MVC3 Custom FormAuthorize
君之蘭
10-19 2973
我们开发web系统,用户身份验证是最常见不过的。最简单的办法就是定一个基类,基类里面有判断Cookie或Session是否存在,然后决定是否跳转。今天就利用MVC的特性来一个不一样的验证方式。   public class CustomAuthorizeAttribute : AuthorizeAttribute   {       protected override boo
深入学习ASP.NET MVC5
"ProASP.NET MVC5 是一本由 Adam Freeman 撰写的关于 ASP.NET MVC5 的专业书籍,涵盖了该框架的最新技术和实践。" 在 ASP.NET MVC5 中,我们探讨的是微软为Web应用程序开发提供的一个强大且灵活的框架。这个版本在...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值