Chciałbym wiedzieć, jakie są najlepsze praktyki dotyczące korzystania z zabezpieczeń opartych na rolach w MVC:
jak zabezpieczyć swoje działania i udostępnić je tylko w określonych rolach?Bezpieczeństwo oparte na rolach asp.net mvcRola bezpieczeństwa asp.net mvc
Jeśli prawidłowo skonfigurujesz dostawcę członkostwa ASP.Net, możesz łatwo użyć atrybutu [Autoryzuj], aby określić dostęp dla różnych ról lub użytkowników.
Aby wymagać od użytkowników, aby zalogować się, należy:
[Authorize]
public class SomeController : Controller
// Or
[Authorize]
public ActionResult SomeAction()
Aby ograniczyć dostęp do określonych ról, zastosowanie:
[Authorize(Roles = "Admin, User")]
public class SomeController : Controller
// Or
[Authorize(Roles = "Admin, User")]
public ActionResult SomeAction()
i ograniczenie dostępu do określonych użytkowników, przeznaczenie:
[Authorize(Users = "Charles, Linus")]
public class SomeController : Controller
// Or
[Authorize(Users = "Charles, Linus")]
public ActionResult SomeAction()
Co jeśli chcesz, aby twoje role/uprawnienia były dynamiczne w DB? –
@JoePhilllips Utwórz niestandardowy atrybut, a on aauthorize handler. – nagytech
Podoba mi się dekoracja metody Authorize. Oto kolejne pytanie: jeśli mamy aktywną grupę katalogów utworzoną do obsługi wyjątków od reguły .. np. grupa o nazwie "MyApp_AccessDenied" .. czy istnieje sposób na wykorzystanie tej .. tj. negatywnej wersji dekoracji Authorize ... jak dekoracji DenyAuthorize? – Bkwdesign