#asp.net #asp.net-mvc #asp.net-mvc-4 #authorization #custom-authentication
#asp.net #asp.net-mvc #asp.net-mvc-4 #авторизация #пользовательская аутентификация
Вопрос:
Я работаю над проектом MVC. Я хочу использовать пользовательский атрибут авторизации. Прежде всего, я использовал пример в этом сообщении в блоге.
public class CustomAuthorizeAttribute : AuthorizeAttribute
{
public string RolesConfigKey { get; set; }
protected virtual CustomPrincipal CurrentUser => HttpContext.Current.User as CustomPrincipal;
public override void OnAuthorization(AuthorizationContext filterContext)
{
if (!filterContext.HttpContext.Request.IsAuthenticated) return;
var authorizedRoles = ConfigurationManager.AppSettings["RolesConfigKey"];
Roles = string.IsNullOrEmpty(Roles) ? authorizedRoles : Roles;
if (string.IsNullOrEmpty(Roles)) return;
if (CurrentUser == null) return;
if (!CurrentUser.IsInRole(Roles)) base.OnAuthorization(filterContext);
}
protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
if (!filterContext.HttpContext.Request.IsAuthenticated) return;
}
}
Я использую этого пользовательского участника в своем базовом контроллере.
public class CustomPrincipal : IPrincipal
{
public CustomPrincipal(string userName) { this.Identity = new GenericIdentity(userName); }
public bool IsInRole(string userRoles)
{
var result = true;
var userRolesArr = userRoles.Split(',');
foreach (var r in Roles)
{
if (userRolesArr.Contains(r)) continue;
result = false;
break;
}
return resu<
}
public IIdentity Identity { get; }
public string UserId { get; set; }
public string FirstName { get; set; }
public string LastName { get; set; }
public string[] Roles { get; set; }
}
В моей конфигурации routeconfig моим маршрутом по умолчанию является маршрут, /Account/Index по которому пользователи выполняют операции входа. И это действие индекса контроллеров учетных записей.
[HttpPost, ValidateAntiForgeryToken]
public ActionResult Index(AccountViewModel accountModel)
{
var returnUrl = string.Empty;
if (!ModelState.IsValid) { return UnsuccessfulLoginResult(accountModel.UserName, ErrorMessages.WrongAccountInfo); }
var account = _accountService.CheckUser(accountModel.UserName, accountModel.Password);
if (account == null) return UnsuccessfulLoginResult(accountModel.UserName, ErrorMessages.WrongAccountInfo);
var roles = account.Roles.Select(r => r.RoleName).ToArray();
var principalModel = new CustomPrincipalModel
{
UserId = account.UserId,
FirstName = "FirstName",
LastName = "LastName",
Roles = roles
};
var userData = JsonConvert.SerializeObject(principalModel);
var ticket = new FormsAuthenticationTicket(1, account.UserId, DateTime.Now, DateTime.Now.AddMinutes(30), false, userData);
var encryptedTicket = FormsAuthentication.Encrypt(ticket);
var cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);
Response.Cookies.Add(cookie);
SetCulture(account.DefaultCulture);
if (!Array.Exists(roles, role => role == "admin" || role == "user")) return UnsuccessfulLoginResult(accountModel.UserName, ErrorMessages.WrongAccountInfo);
if (roles.Contains("admin")) { returnUrl = Url.Action("Index", "Admin"); }
if (roles.Contains("user")) { returnUrl = Url.Action("Index", "Upload"); }
return SuccessfulLoginResult(accountModel.UserName, returnUrl);
}
Как вы можете видеть, когда пользователь находится в роли администратора, это действие перенаправляет пользователя /Admin/Index в противном /Upload/Index случае. Но после того, как я вошел в систему, пользователь получил роль пользователя и ввел /Admin/Index , фильтры авторизации не работают, и пользователь может получить доступ к странице администратора.
Хотя я добавил в UploadController и AdminController этот атрибут, эта ошибка возникает. Как я могу это исправить?
[CustomAuthorize(Roles = "user")]
public class UploadController : BaseController
[CustomAuthorize(Roles = "admin")]
public class AdminController : BaseController
Комментарии:
1. Куда вы добавляете утверждения пользователя?
Ответ №1:
Вам нужно добавить утверждения для вашего пользователя, добавьте эту часть в свой метод:
. . .
var roles = account.Roles.Select(r => r.RoleName).ToArray();
ClaimsIdentity identity = new ClaimsIdentity(DefaultAuthenticationTypes.ApplicationCookie);
identity.AddClaim(new Claim(ClaimTypes.NameIdentifier, accountModel.UserName));
roles.ToList().ForEach((role) => identity.AddClaim(new Claim(ClaimTypes.Role, role)));
identity.AddClaim(new Claim(ClaimTypes.Name, userCode.ToString()));
. . .
Комментарии:
1. Я не знаю, как использовать утверждения. Я использовал аутентификацию на основе форм. могу ли я использовать проверку подлинности утверждений и форм вместе?
2. Да, вы можете, если у вас есть
<authentication mode ="Forms"> <forms loginUrl = "~/Forms/Login.aspx" /> </authentication>в вашем Web.config, прокомментировать это.3. Я прокомментировал это, но ничего не изменилось
Ответ №2:
Проблема решена с помощью этих изменений.
В моем CustomAuthorizeAttribute изменена эта строка
if (!filterContext.HttpContext.Request.IsAuthenticated) return;
Для
if (!filterContext.HttpContext.Request.IsAuthenticated) base.OnAuthorization(filterContext);
И удалены строки, которые я прочитал разрешенные роли из веб-конфигурации. Итак, мои атрибуты окончательной версии, как показано ниже
public class CustomAuthorizeAttribute : AuthorizeAttribute
{
protected virtual CustomPrincipal CurrentUser => HttpContext.Current.User as CustomPrincipal;
public override void OnAuthorization(AuthorizationContext filterContext)
{
if (!filterContext.HttpContext.Request.IsAuthenticated) base.OnAuthorization(filterContext);
if (string.IsNullOrEmpty(Roles)) return;
if (CurrentUser == null) return;
if (!CurrentUser.IsInRole(Roles)) filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary(new { controller = "Error", action = "AccessDenied" }));
}
}
Затем я добавил контроллер с именем ErrorController и перенаправил на эту страницу, когда пользователь не в роли.
С этими изменениями я понял, что не могу получить доступ к своему, /Account/Index и добавил [AllowAnonymous] атрибут к действиям ниже.
[AllowAnonymous]
public ActionResult Index() { return View(); }
[HttpPost, ValidateAntiForgeryToken, AllowAnonymous]
public ActionResult Index(AccountViewModel accountModel)