ASP.NET MVC 3自定义身份验证/授权

我已经在互联网上搜索了所有内容,我在这个主题上找到了一些好的东西,但我还有一些问题,我仍然不确定：

1)我正在使用自定义身份验证提供程序的表单身份验证.所以我仍然使用Authorize属性和web.config中的部分,但基本上当FormsAuthenticationTicket不存在时,我重定向到登录页面(在web.config中指定),然后利用自定义身份验证提供程序来授权用户对数据库然后发出FormsAuthenticationTicket.它是否正确？

2)我应该使用自定义Authorize属性还是应该从Global.asax页面中的Application_AuthenticateRequest事件处理程序中将GenericPrincipal注入HttpContext？或者我应该使用控制器操作的User.IsInRole insode？

我只需要基于角色的授权,我认为我的身份验证方案非常好.

任何指针/建议？

谢谢,
山姆

编辑

因此,根据我的阅读,最好的选择是创建自定义AuthorizeAttribute并覆盖AuthorizeCore.

所以我做的是这样的：

public class CustomAuthorize : System.Web.Mvc.AuthorizeAttribute
    {
        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            if (httpContext.User.Identity.IsAuthenticated)
            {
                var model = AdminUserViewModel.FromJsonString(((FormsIdentity)httpContext.User.Identity).Ticket.UserData);
                httpContext.User = new GenericPrincipal(HttpContext.Current.User.Identity,model.SecurityGroups.Select(x => x.Name).ToArray());
            }
            return base.AuthorizeCore(httpContext);
        }

        protected override void HandleUnauthorizedRequest(System.Web.Mvc.AuthorizationContext filterContext)
        {
            //base.HandleUnauthorizedRequest(filterContext);
            filterContext.Result = new System.Web.Mvc.RedirectResult("/Authentication/NotAuthorized",false);
        }
    }

只需使用存储在FormsAuthenticationTicket UserData属性中的角色注入新的主体/标识.然后让基地做其余的事情.

这看起来好吗？

编辑#2

我对使用IIS7的global.asax中的Application_AuthenticateRequest感到有点厌倦,因为集成管道,每个请求都会触发该事件,图像,css,js ……

它是否正确？

解决方法

2)我使用Authorize属性和Application_AuthenticateRequest事件处理程序.

在Application_AuthenticateRequest事件处理程序中,我执行以下操作：

string[] roles = authenticationTicket.UserData.Split(',');

    if (Context.User != null)
        Context.User = new GenericPrincipal(Context.User.Identity,roles);

在控制器或动作级别,我做这样的事情：

[Authorize(Roles = "Admin,SuperAdmin")]

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!