ASP.NET MVC 2 Authorize - 自定义Authorize的实现

最新推荐文章于 2024-05-12 20:32:47 发布
最新推荐文章于 2024-05-12 20:32:47 发布
阅读量1.1w 收藏 4
点赞数
分类专栏: C# C# - ASP.NET - MVC C# - ASP.NET 文章标签: asp.net mvc authorization authentication user webform

ASP.NET MVC 2 Authorize - 自定义Authorize的实现

 

 

本文主要是转载的,通过这个小例子可以轻松自定义你的Authorize权限控制,因为我不是特别了解ASP.NET WebForm的MemberShip的实现机制,也不敢说自定义的性能是否过关,目前使用自定义的比较顺手。

 

 

转自:

=====================================================================

 

在ASP.NET MVC2中使用自定义的AuthorizeAttribute绕过内置的Membership/Role机制 

// 所有原创文章转载请注明作者及链接
// blackboycpp(AT)gmail.com
// QQ群: 135202158

感谢 DSO at http://stackoverflow.com/users/38087/DSO

在ASP.NET MVC2中,我们可以使用Authorize Filter限制用户对内容的访问,如

view plain copy to clipboard print ?
  1. [Authorize]  
  2. public class MyController : Controller  
  3. {   
  4.    // ...   
  5. }  
  6. // 或者  
  7. [Authorize(Roles="Admin")]  
  8. public class MyController : Controller  
  9. {   
  10.    // ...   
  11. }  

 

但前提是要用到Membership / Role机制。 我们要不就使用内置的机制,要不就派生出自己的。

不管怎样,都比较麻烦,其实我们可以绕过这套机制,而且还能使用AuthorizeAttribute。

以下是DSO的看法:

With MVC it is simple to bypass the Membership and Role provider framework altogether. Sometimes it is easier to do this than to implement custom Membership/Role providers, in particular if your authn/authz model doesn't quite fit the mold of those providers.

First, you should realize that you don't need to write everything from scratch, you can use the core Forms authentication API, which can be used independently of the Membership/Role provider framework:

  • FormsAuthentication.SetAuthCookie - Call this after user has been authenticated, specify the user name
  • Request.IsAuthenticated - Returns true if SetAuthCookie was called
  • HttpContext.Current.User.Identity.Name - Returns the user name specified in the call to SetAuthCookie

So here is what you do in MVC to bypass the Membership/Role provider:

  1. Authentication : In your controller, authenticate the user using your custom logic.If successful, call FormsAuthentication.SetAuthCookie with the user name.

  2. Authorization : Create a custom authorize attribute (deriving from AuthorizeAttribute) . In the AuthorizeCore override, implement your custom authorization logic, taking the user in HttpContext.Current.User.Identity.Name and the roles defined in the Roles property of the AuthorizeAttribute base class. Note you can also define properties on your custom authorization attribute and use that in your authorization logic. For example you can define a property representing roles as enumerated values specific to your app, instead of using the Roles property which is just a string.

  3. Affix your controllers and actions with your custom authorize attribute, instead of the default Authorize attribute.

我看了感觉很受启发,但却不太清楚如何重载AuthorizeAttribute的AuthorizeCore方法。为此我做了个Demo:

1. 使用VS2010建立一个ASP.NET MVC2 Web工程Aut,在Model目录下新建一个MyAuthAttribute类,如下:

 

view plain copy to clipboard print ?
  1. using System;  
  2. using System.Collections.Generic;  
  3. using System.Linq;  
  4. using System.Web;  
  5. using System.Web.Mvc;  
  6. namespace AuthTest.Models  
  7. {  
  8.     public class MyAuthAttribute : AuthorizeAttribute  
  9.     {  
  10.         // 只需重载此方法,模拟自定义的角色授权机制  
  11.         protected override bool AuthorizeCore(HttpContextBase httpContext)  
  12.         {  
  13.             string currentRole = GetRole(httpContext.User.Identity.Name);  
  14.             if(Roles.Contains(currentRole ) )  
  15.                 return true;  
  16.             return base.AuthorizeCore(httpContext);  
  17.         }  
  18.   
  19.         // 返回用户对应的角色, 在实际中, 可以从SQL数据库中读取用户的角色信息  
  20.         private string GetRole(string name)  
  21.         {  
  22.             switch(name)  
  23.             {  
  24.                 case "aaa":  return "User";  
  25.                 case "bbb"return "Admin";  
  26.                 case "ccc"return "God";  
  27.                 defaultreturn "Fool";  
  28.             }  
  29.         }  
  30.     }  
  31.   
  32. }  

 

2. 修改HomeController, 如下

 

view plain copy to clipboard print ?
  1. using System;  
  2. using System.Collections.Generic;  
  3. using System.Linq;  
  4. using System.Web;  
  5. using System.Web.Mvc;  
  6. using System.Web.Security;  
  7. using AuthTest.Models;  
  8. namespace AuthTest.Controllers  
  9. {  
  10.     [HandleError]  
  11.     public class HomeController : Controller  
  12.     {  
  13.         public ActionResult Index()  
  14.         {  
  15.             ViewData["Message"] = "欢迎使用 ASP.NET MVC!";  
  16.             // 模拟用户成功登录  
  17.             FormsAuthentication.SetAuthCookie("aaa"false);  
  18.             return View();  
  19.         }  
  20.   
  21.         // 验证我们自定义的AuthorizeAttribute是否起作用,   
  22.          // 此Action只能由角色为“God”的用户访问  
  23.         [MyAuth(Roles="God")]  
  24.         public ActionResult About()  
  25.         {  
  26.             return View();  
  27.         }  
  28.     }  
  29. }  

 

3. 按F5调试,再点击页面上的“关于”链接,哈哈,知道了吧?

cs_victor
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ASP.NET MVC2中使用自定义AuthorizeAttribute绕过内置的Membership/Role机制
blackboy的技术博客
12-03 7838
ASP.NET MVC2, Authentication, Authorization, Authorize, Membership, Role, Custom AuthorizeAttribute
Asp.net Mvc Authorize 详细说明.docx
07-27
Asp.net Mvc Authorize可以简单的进行用户登录验证与授权,简单好用。但是详细资源有限,好多网上的资料不是不全,就是不能运行,经过多方搜集与整理,归纳出了 这方面的详细资料,提供给同人,希望减轻搜索资料的工作量。
AspNet MVC4 教学-11:Asp.Net MVC4 默认Authorize自定义Authorize快速Demo
格码老师教编程
05-07 5731
Asp.Net MVC4 默认Authorize自定义Authorize快速Demo
.NET应用程序实现身份验证和授权
最新发布
wangnanofspirit的博客
05-12 435
在.NET应用程序中实现身份验证(Authentication)和授权(Authorization)的常见方法通常依赖于多种技术和框架,这些技术和框架共同确保了应用程序的安全性。
ASP.NET MVC 2 方法名上面加 Authorize 的作用
先知的程序
10-22 2690
ASP.NET MVC2中,我们可以使用Authorize Filter限制用户对内容的访问,如 [Authorize]         [AcceptVerbs(HttpVerbs.Post)]         public ActionResult Edit(string EmployeeCode, TZP_EmployeeMSG msg)         {
ASP.NET身份验证机制membership入门——项目
07-31 392
<br /> 前面说了很多关于membership的内容,感觉内容有点凌乱,内容都是一个个知识点,下面我们通过一个小的项目,来把所有的相关内容串一下。 <br /> <br />  首先描述一下需求:<br />  我们要做一个最简单的网站。有三类用户:匿名用户,员工,管理员,网站结构如下:<br />     <br />     admin目录下的页面只允许admin角色的用户访问,employee目录下的页面只允许emp角色的用户访问。Default.aspx允许所有用户访问。Login.aspx
[Asp.Net MVC4]验证用户登录实现实例
10-20
Asp.Net MVC4中,实现用户登录验证是构建任何Web应用程序的重要部分,特别是涉及到用户交互和安全性。本文将深入探讨如何在MVC4框架下创建一个完整的用户登录验证实例。 首先,我们要创建数据库和相应的用户表。...
.Net-MVC框架-基础知识.pptx
10-29
ASP.NET MVC是一个基于模型-视图-控制器(MVC)设计模式的开源Web应用程序框架,由微软开发。MVC模式将应用程序分为三个主要组件:模型(Model)、视图(View)和控制器(Controller),旨在提高代码的可测试性和可...
详解ASP.NET MVC Form表单验证
10-22
综上所述,ASP.NET MVC Form表单验证是一个涉及客户端和服务器端交互的过程,通过数据注解、自定义验证以及权限控制,确保了Web应用程序的安全性和数据的准确性。结合配置文件进行权限管理,可以提供更加灵活和可...
ASP.NET MVC应用程序中有关自定义表单身份验证的初学者教程
04-11
在这个初学者教程中,我们将深入探讨如何在ASP.NET MVC应用中实现自定义的表单身份验证,这是一项核心的安全功能,用于保护网站内容并确保用户数据的安全。 **表单身份验证**是Web开发中的一个关键概念,它允许用户...
MVC 自定义AuthorizeAttribute实现权限管理
北极星的专栏
08-10 6129
MVCAuthorizeAttribute用法并实现授权管理 (2015-01-05 13:49:30) 转载▼ 标签: authorizeattribute handleunauthorized authorizecore 分类: MVC  MVCAuthorizeAttribute用法并实现授权管理   1.创建一个类(用
.net core 自定义授权策略提供程序进行权限验证
qw_6918966011的博客
07-11 747
/默认授权测率必须添加一个IAuthorizationRequirement的实现IPermissionsCheck 是我注入的权限检测程序,其实对于权限认证,重要的是控制对资源的访问,整篇文章下来无非就是将特性上的值提供到我们所需要进行权限检测的程序中去,当然我们也可以用权限过滤器反射获取Authorize特性上的值来实现.User?.Identity;?false;.User?.Claims;.Value;//判断是否通过鉴权中间件--是否登录。
自定义Authorize
SoftEnger
11-27 755
自定义Authorize: 用于判断网站的权限,查看当前用户有无权限访问。 创建一个类继承于AuthorizeAttribute public class ZDYAuthorizeAttribute : AuthorizeAttribute 想要实现自定义Authorize,得重写一下虚方法:public virtual void OnAuthorization(Authorizati
MVC中方便的[Authorize],加上这特性,就可以加上登录验证
weixin_44019016的博客
07-24 2739
之前不知道有这个特性,还翻查代码,找各种方法 实现访问某些控制器,需要登录 方法如下: using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; using Microsoft.AspNet.Identity;...
如何在ASP.NET Core中创建自定义AuthorizeAttribute?
p15097962069的博客
06-09 4383
I'm trying to make a custom authorization attribute in ASP.NET Core. 我正在尝试在ASP.NET Core中创建自定义授权属性。
ASP.NET Core MVC 授权的扩展:自定义 Authorize Attribute 和 IApplicationModelProvide
weixin_30845171的博客
11-28 396
一、概述 ASP.NET Core MVC提供了基于角色(Role)、声明(Chaim) 和策略 (Policy) 等的授权方式。在实际应用中,可能采用部门(Department, 本文采用用户组Group)、职位 ( 可继续沿用Role)、权限(Permission)的方式进行授权。要达到这个目的,仅仅通过自定义IAuthorizationPolicyP...
ASP.NET MVC4 自定义权限(角色)验证
shuai_wy的专栏
09-30 7035
ASP.NET MVC4 自定义权限(角色)验证。 自定义验证方法,自定义验证失败处理方法。 异步请求验证失败,返回JSON数据。 同步请求验证失败,跳转登录页。
MVC 拦截器之授权 AuthorizeAttribute
Java_c#
03-21 5170
一、表关系   二、表结构 1、角色     2、用户     三、自定义授权特性 using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Mvc; using System.Web.Security; usin
ASP.NET MVC Authorization 自定义跳转
weixin_34195142的博客
11-14 322
应用场景:在 ASP.NET MVC 应用程序中,需要对用户身份权限进行验证,比如没有登录或者不符合权限的用户,访问 Action 的时候,跳转到指定页面。 重写 Authorize: public class AdminAuthorizeAttribute : AuthorizeAttribute { protected override bo...
asp.net mvc实现权限管理
11-15
ASP.NET MVC 实现权限管理可以采用以下方式: 1. 角色和权限的定义:在系统中定义不同的角色和相应的权限,如管理员、普通用户等。可以通过数据库表或配置文件的方式进行定义。 2. 登录认证:用户在系统中进行登录...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值