Подтвердить что ты не робот

Asp.net mvc decorate [Авторизовать()] с несколькими перечислениями

У меня есть контроллер, и я хочу, чтобы две роли имели к нему доступ. 1-admin ИЛИ 2-модератор

Я знаю, что вы можете сделать [Authorize (Roles = "admin, moderators" )], но у меня есть роли в перечислении. С перечислением я могу разрешать только одну роль. Я не могу понять, как разрешить два.

Я пробовал что-то вроде [Authorize (Roles = MyEnum.Admin, MyEnum.Moderator)], но это не скомпилируется.

Кто-то однажды предложил это:

 [Authorize(Roles=MyEnum.Admin)]
 [Authorize(MyEnum.Moderator)]
 public ActionResult myAction()
 {
 }

но он не работает как OR. Я думаю, что в этом случае пользователь должен быть частью роли BOTH. Могу ли я игнорировать некоторый синтаксис? Или это случай, когда мне приходится откатывать собственное пользовательское разрешение?

4b9b3361

ОТВЕТЫ

Ответ 1

Попробуйте использовать оператор бит OR следующим образом:

[Authorize(Roles= MyEnum.Admin | MyEnum.Moderator)]
public ActionResult myAction()
{
}

Если это не сработает, вы можете просто свернуть свое. Я только что сделал это в своем проекте. Вот что я сделал:

public class AuthWhereRole : AuthorizeAttribute
{
    /// <summary>
    /// Add the allowed roles to this property.
    /// </summary>
    public UserRole Is;

    /// <summary>
    /// Checks to see if the user is authenticated and has the
    /// correct role to access a particular view.
    /// </summary>
    /// <param name="httpContext"></param>
    /// <returns></returns>
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        if (httpContext == null)
            throw new ArgumentNullException("httpContext");

        // Make sure the user is authenticated.
        if (!httpContext.User.Identity.IsAuthenticated)
            return false;

        UserRole role = someUser.Role; // Load the user role here

        // Perform a bitwise operation to see if the user role
        // is in the passed in role values.
        if (Is != 0 && ((Is & role) != role))
            return false;

        return true;
    }
}

// Example Use
[AuthWhereRole(Is=MyEnum.Admin|MyEnum.Newbie)]
public ActionResult Test() {}

Кроме того, обязательно добавьте атрибут flags в свой список и убедитесь, что все они оценены от 1 и выше. Вот так:

[Flags]
public enum Roles
{
    Admin = 1,
    Moderator = 1 << 1,
    Newbie = 1 << 2
    etc...
}

Левое смещение бит дает значения 1, 2, 4, 8, 16 и т.д.

Хорошо, я надеюсь, что это поможет немного.

Ответ 2

Вот простое и элегантное решение, которое позволяет вам просто использовать следующий синтаксис:

[AuthorizeRoles(MyEnum.Admin, MyEnum.Moderator)]

Создавая свой собственный атрибут, используйте params ключевое слово в своем конструкторе:

public class AuthorizeRoles : AuthorizeAttribute
{
    public AuthorizeRoles(params MyEnum[] roles)
    {
        ...
    }
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        ...
    }
}

Это позволит вам использовать атрибут следующим образом:

[AuthorizeRoles(MyEnum.Admin, MyEnum.Moderator)]
public ActionResult myAction()
{
}

Ответ 3

Я объединил несколько решений здесь, чтобы создать свой личный фаворит. Мой пользовательский атрибут просто изменяет данные в форме, которую ожидает SimpleMembership, и позволяет ему обрабатывать все остальное.

Мои роли перечислены:

public enum MyRoles
{
    Admin,
    User,
}

Чтобы создать роли:

public static void CreateDefaultRoles()
{
    foreach (var role in Enum.GetNames(typeof(MyRoles)))
    {
       if (!Roles.RoleExists(role))
       {
            Roles.CreateRole(role);
        }
    }
}

Пользовательский атрибут:

public class AuthorizeRolesAttribute : AuthorizeAttribute
{
    public AuthorizeRolesAttribute(params MyRoles[] allowedRoles)
    {
        var allowedRolesAsStrings = allowedRoles.Select(x => Enum.GetName(typeof(MyRoles), x));
        Roles = string.Join(",", allowedRolesAsStrings);
    }
}

Используется так:

[AuthorizeRoles(MyRoles.Admin, MyRoles.User)]
public ActionResult MyAction()
{
    return View();
}

Ответ 4

Try

public class CustomAuthorize : AuthorizeAttribute
{
    public enum Role
    {
        DomainName_My_Group_Name,
        DomainName_My_Other_Group_Name
    }

    public CustomAuthorize(params Role[] DomainRoles)
    {
        foreach (var domainRole in DomainRoles)
        {
            var domain = domainRole.ToString().Split('_')[0] + "_";
            var role = domainRole.ToString().Replace(domain, "").Replace("_", " ");
            domain=domain.Replace("_", "\\");
            Roles += ", " + domain + role;
        }
        Roles = Roles.Substring(2);
    }       
}

public class HomeController : Controller
{
    [CustomAuthorize(Role.DomainName_My_Group_Name, Role.DomainName_My_Other_Group_Name)]
    public ActionResult Index()
    {
        return View();
    }
}

Ответ 5

Здесь моя версия, основанная на @CalebHC и @Lee Harold, отвечает.

Я следил за стилем использования именованных параметров в атрибуте и переопределял свойства базовых классов Roles.

@CalebHC answer использует новое свойство Is, которое, как мне кажется, не нужно, потому что AuthorizeCore() переопределяется (который в базовом классе использует роли), поэтому имеет смысл использовать наш собственный Roles. Используя наш собственный Roles, мы можем написать Roles = Roles.Admin на контроллере, который следует за стилем других атрибутов .Net.

Я использовал два конструктора для CustomAuthorizeAttribute для отображения реальных активных имен групп каталогов. В производстве я использую параметризованный конструктор, чтобы избежать магических строк в классе: имена групп вытягиваются из web.config во время Application_Start() и передается при создании с помощью инструмента DI.

Вам понадобится NotAuthorized.cshtml или подобное в вашей папке Views\Shared, или неавторизованные пользователи получат экран с ошибкой.

Вот код для базового класса AuthorizationAttribute.cs.

Контроллер:

public ActionResult Index()
{
  return this.View();
}

[CustomAuthorize(Roles = Roles.Admin)]
public ActionResult About()
{
  return this.View();
}

CustomAuthorizeAttribute:

// The left bit shifting gives the values 1, 2, 4, 8, 16 and so on.
[Flags]
public enum Roles
{
  Admin = 1,
  User = 1 << 1    
}

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class CustomAuthorizeAttribute : AuthorizeAttribute
{
  private readonly string adminGroupName;

  private readonly string userGroupName;

  public CustomAuthorizeAttribute() : this("Domain Admins", "Domain Users")
  {      
  }

  private CustomAuthorizeAttribute(string adminGroupName, string userGroupName)
  {
    this.adminGroupName = adminGroupName;
    this.userGroupName = userGroupName;
  }

  /// <summary>
  /// Gets or sets the allowed roles.
  /// </summary>
  public new Roles Roles { get; set; }

  /// <summary>
  /// Checks to see if the user is authenticated and has the
  /// correct role to access a particular view.
  /// </summary>
  /// <param name="httpContext">The HTTP context.</param>
  /// <returns>[True] if the user is authenticated and has the correct role</returns>
  /// <remarks>
  /// This method must be thread-safe since it is called by the thread-safe OnCacheAuthorization() method.
  /// </remarks>
  protected override bool AuthorizeCore(HttpContextBase httpContext)
  {
    if (httpContext == null)
    {
      throw new ArgumentNullException("httpContext");
    }

    if (!httpContext.User.Identity.IsAuthenticated)
    {
      return false;
    }

    var usersRoles = this.GetUsersRoles(httpContext.User);

    return this.Roles == 0 || usersRoles.Any(role => (this.Roles & role) == role);
  }

  protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
  {
    if (filterContext == null)
    {
      throw new ArgumentNullException("filterContext");
    }

    filterContext.Result = new ViewResult { ViewName = "NotAuthorized" };
  }

  private IEnumerable<Roles> GetUsersRoles(IPrincipal principal)
  {
    var roles = new List<Roles>();

    if (principal.IsInRole(this.adminGroupName))
    {
      roles.Add(Roles.Admin);
    }

    if (principal.IsInRole(this.userGroupName))
    {
      roles.Add(Roles.User);
    }

    return roles;
  }    
}

Ответ 6

Чтобы добавить к CalebHC код и ответ на вопрос ssmith об обработке пользователей, у которых есть несколько ролей...

Наш пользовательский принцип безопасности возвращает массив строк, представляющий все группы/роли, в которых находится пользователь. Поэтому сначала мы должны преобразовать все строки в массиве, соответствующие элементам перечисления. Наконец, мы ищем любое совпадение - если это так, то пользователь авторизован.

Обратите внимание, что мы также перенаправляем неавторизованного пользователя в пользовательское представление "NotAuthorized".

Весь класс выглядит следующим образом:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)] 
public class CustomAuthorizeAttribute : AuthorizeAttribute
{
    /// <summary>
    /// Add the allowed roles to this property.
    /// </summary>
    public Roles Is { get; set; }

    /// <summary>
    /// Checks to see if the user is authenticated and has the
    /// correct role to access a particular view.
    /// </summary>
    /// <param name="httpContext"></param>
    /// <returns></returns>
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        if (httpContext == null)
            throw new ArgumentNullException("httpContext");

        if (!httpContext.User.Identity.IsAuthenticated)
            return false;

        var iCustomPrincipal = (ICustomPrincipal) httpContext.User;

        var roles = iCustomPrincipal.CustomIdentity
                        .GetGroups()
                        .Select(s => Enum.Parse(typeof (Roles), s))
                        .ToArray();

        if (Is != 0 && !roles.Cast<Roles>().Any(role => ((Is & role) == role)))
        {
            return false;
        }

        return true;
    }

    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        if (filterContext == null)
            throw new ArgumentNullException("filterContext");

        filterContext.Result = new ViewResult { ViewName = "NotAuthorized" };
    } 
}

Ответ 7

Или вы можете объединиться, например:

[Авторизовать (Роли = Common.Lookup.Item.SecurityRole.Administrator + "," + Common.Lookup.Item.SecurityRole.Intake)]