ASP.NET MVC 应用程序中条件编辑操作的基于声明的授权设计
Claim based authorization design for conditional edit operation in ASP.NET MVC App
使用基于声明的模型设计 ASP.Net MVC 应用程序授权。假设我们有一个名为 Product 的对象。通常,有 4 种不同的操作 - 创建、编辑、删除和查看。使用 ClaimsAuthorize 属性完成授权。
[Authorize]
public class ProductController : Controller
{
[ClaimsAuthorize("Product", "VIEW")]
public List<Product> GetProducts()
{
// ....
}
[ClaimsAuthorize("Product", "CREATE")]
public Product CreateNewProduct(Product product)
{
//....
}
}
但就我而言,我必须支持不同类型的编辑权限:
如果同一用户最初创建了产品,部分用户可以编辑该产品
如果产品属于特定类别并且用户也可以访问同一类别,则部分用户可以编辑产品
部分用户可以编辑所有产品(这是正常的产品编辑操作)
如何优雅地授权所有这些 Edit 操作(最好是如上所示的属性驱动),同时我希望将授权代码与正常的 MVC 控制器代码和业务逻辑分开。
[上面的代码示例在语法上不正确,我只是为了解释这个问题而编造的]
告诉我你的想法。
关于你问题的第一部分,基于声明的授权,我已经在 中回答了。我不会在这里重复。
但对于您的其他规则,例如只能由所有者编辑的产品。您可以为每个规则编写单独的 AuthorizeAttribute 并将它们应用到您的 Actions 中,这是一个简单的示例:
using Microsoft.AspNet.Identity;
public class OwnerAuthorizeAttribute : AuthorizeAttribute
{
private string _keyName;
public bool IsPost { get; set; }
public OwnerAuthorizeAttribute(string keyName)
{
_keyName = keyName;
}
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
// imagine you have a service which could check owner of
// product based on userID and ProductID
return httpContext.User.Identity.IsAuthenticated
&& this.ContainsKey
&& _productService.IsOwner(httpContext.User.Identity.GetUserId(),
int.Parse(this.KeyValue.ToString()));
}
private bool ContainsKey
{
get
{
return IsPost
? HttpContext.Current.Request.Form.AllKeys.Contains(_keyName)
// for simplicity I just check route data
// in real world you might need to check query string too
: ((MvcHandler)HttpContext.Current.Handler).RequestContext
.RouteData.Values.ContainsKey(_keyName);
}
}
private object KeyValue
{
get
{
return IsPost
? HttpContext.Current.Request.Form[_keyName]
// for simplicity I just check route data
// in real world you might need to check query string too
: ((MvcHandler)HttpContext.Current.Handler)
.RequestContext.RouteData.Values[_keyName];
}
}
}
您也可以对其他规则重复相同的模式。
您可以简单地将自定义属性应用到您的操作中:
[OwnerAuthorize("id")]
public ActionResult Edit(int id)
{
// your code
}
[HttpPost]
// double checking in post back too
[OwnerAuthorize("id", IsPost = true)]
public ActionResult Edit(Product product)
{
// your code
}
很明显,您可以将不止一个 AuthorizeAttribute 应用到您的操作中。在这种情况下 所有 他们必须 return true.
[ClaimsAuthorize("Product", "EDIT")]
[OwnerAuthorize("id")]
[YetOtherAuthorize]
public ActionResult MyFancyAction(int id)
{
}
使用基于声明的模型设计 ASP.Net MVC 应用程序授权。假设我们有一个名为 Product 的对象。通常,有 4 种不同的操作 - 创建、编辑、删除和查看。使用 ClaimsAuthorize 属性完成授权。
[Authorize]
public class ProductController : Controller
{
[ClaimsAuthorize("Product", "VIEW")]
public List<Product> GetProducts()
{
// ....
}
[ClaimsAuthorize("Product", "CREATE")]
public Product CreateNewProduct(Product product)
{
//....
}
}
但就我而言,我必须支持不同类型的编辑权限:
如果同一用户最初创建了产品,部分用户可以编辑该产品
如果产品属于特定类别并且用户也可以访问同一类别,则部分用户可以编辑产品
部分用户可以编辑所有产品(这是正常的产品编辑操作)
如何优雅地授权所有这些 Edit 操作(最好是如上所示的属性驱动),同时我希望将授权代码与正常的 MVC 控制器代码和业务逻辑分开。
[上面的代码示例在语法上不正确,我只是为了解释这个问题而编造的] 告诉我你的想法。
关于你问题的第一部分,基于声明的授权,我已经在
但对于您的其他规则,例如只能由所有者编辑的产品。您可以为每个规则编写单独的 AuthorizeAttribute 并将它们应用到您的 Actions 中,这是一个简单的示例:
using Microsoft.AspNet.Identity;
public class OwnerAuthorizeAttribute : AuthorizeAttribute
{
private string _keyName;
public bool IsPost { get; set; }
public OwnerAuthorizeAttribute(string keyName)
{
_keyName = keyName;
}
protected override bool AuthorizeCore(HttpContextBase httpContext)
{
// imagine you have a service which could check owner of
// product based on userID and ProductID
return httpContext.User.Identity.IsAuthenticated
&& this.ContainsKey
&& _productService.IsOwner(httpContext.User.Identity.GetUserId(),
int.Parse(this.KeyValue.ToString()));
}
private bool ContainsKey
{
get
{
return IsPost
? HttpContext.Current.Request.Form.AllKeys.Contains(_keyName)
// for simplicity I just check route data
// in real world you might need to check query string too
: ((MvcHandler)HttpContext.Current.Handler).RequestContext
.RouteData.Values.ContainsKey(_keyName);
}
}
private object KeyValue
{
get
{
return IsPost
? HttpContext.Current.Request.Form[_keyName]
// for simplicity I just check route data
// in real world you might need to check query string too
: ((MvcHandler)HttpContext.Current.Handler)
.RequestContext.RouteData.Values[_keyName];
}
}
}
您也可以对其他规则重复相同的模式。
您可以简单地将自定义属性应用到您的操作中:
[OwnerAuthorize("id")]
public ActionResult Edit(int id)
{
// your code
}
[HttpPost]
// double checking in post back too
[OwnerAuthorize("id", IsPost = true)]
public ActionResult Edit(Product product)
{
// your code
}
很明显,您可以将不止一个 AuthorizeAttribute 应用到您的操作中。在这种情况下 所有 他们必须 return true.
[ClaimsAuthorize("Product", "EDIT")]
[OwnerAuthorize("id")]
[YetOtherAuthorize]
public ActionResult MyFancyAction(int id)
{
}