ASP.NET MVC 4カスタム許可属性とアクセス許可コード（役割なし）

121

MVC 4アプリケーションで、ユーザーの特権レベル（ロールはなく、ユーザーに割り当てられたCRUD操作レベルの特権レベルのみ）に基づいて、ビューへのアクセスを制御する必要があります。

例として; AuthorizeUserの下は私のカスタム属性になるので、次のように使用する必要があります。

[AuthorizeUser(AccessLevels="Read Invoice, Update Invoice")]
public ActionResult UpdateInvoice(int invoiceId)
{
   // some code...
   return View();
}


[AuthorizeUser(AccessLevels="Create Invoice")]
public ActionResult CreateNewInvoice()
{
  // some code...
  return View();
}


[AuthorizeUser(AccessLevels="Delete Invoice")]
public ActionResult DeleteInvoice(int invoiceId)
{
  // some code...
  return View();
}

この方法でそれを行うことは可能ですか？

asp.net-mvc-4 authorization custom-attributes

— チャトゥラ
ソース

243

次のように、カスタム属性を使用してこれを行うことができます。

[AuthorizeUser(AccessLevel = "Create")]
public ActionResult CreateNewInvoice()
{
    //...
    return View();
}

次のようなカスタム属性クラス。

public class AuthorizeUserAttribute : AuthorizeAttribute
{
    // Custom property
    public string AccessLevel { get; set; }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var isAuthorized = base.AuthorizeCore(httpContext);
        if (!isAuthorized)
        {                
            return false;
        }

        string privilegeLevels = string.Join("", GetUserRights(httpContext.User.Identity.Name.ToString())); // Call another method to get rights of the user from DB

        return privilegeLevels.Contains(this.AccessLevel);           
    }
}

メソッドをAuthorisationAttributeオーバーライドするHandleUnauthorizedRequestことにより、カスタムで許可されていないユーザーをリダイレクトできます。

protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
    filterContext.Result = new RedirectToRouteResult(
                new RouteValueDictionary(
                    new
                        { 
                            controller = "Error", 
                            action = "Unauthorised" 
                        })
                );
}

— チャトゥラ
ソース

HandleUnauthorizedRequestの例を試しましたが、RouteValueDictionaryを指定すると、存在しないルートにリダイレクトされます。ユーザーをリダイレクトしたいルートをユーザーがアクセスしたいルートに追加します... si localhost：9999 / admin / Homeが欲しいときにlocalhost：9999 / admin / Home

— Marin

1

@Marin RouteValueDictionaryにarea = string.Emptyを追加しよう

— Alex

30

私はupvotingだったが、その後、私のこぎりの「if（条件）{trueを返す;}他{リターン偽;}」最後に....

— GabrielBB

1

@Emil String.Containsメソッドから提供されたブール値を返すだけです。しかし、これは無関係であり、私は反対票を投じなかった、私は単に彼を賛成票を投じなかった。

— GabrielBB 2017年

2

.Name.ToString()Nameプロパティは既に文字列であるため、冗長です

— FindOutIslamNow 2018

13

これは前の修正です。回答。主な違いは、ユーザーが認証されていない場合、元の「HandleUnauthorizedRequest」メソッドを使用してログインページにリダイレクトすることです。

   protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {

        if (filterContext.HttpContext.User.Identity.IsAuthenticated) {

            filterContext.Result = new RedirectToRouteResult(
                        new RouteValueDictionary(
                            new
                            {
                                controller = "Account",
                                action = "Unauthorised"
                            })
                        );
        }
        else
        {
             base.HandleUnauthorizedRequest(filterContext);
        }
    }

— レオニード・ミンコフ
ソース

3

多分これは将来の誰にとっても役立つでしょう、私はこのようなカスタムのAuthorize属性を実装しました：

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true, Inherited = true)]
public class ClaimAuthorizeAttribute : AuthorizeAttribute, IAuthorizationFilter
{
    private readonly string _claim;

    public ClaimAuthorizeAttribute(string Claim)
    {
        _claim = Claim;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var user = context.HttpContext.User;
        if(user.Identity.IsAuthenticated && user.HasClaim(ClaimTypes.Name, _claim))
        {
            return;
        }

        context.Result = new ForbidResult();
    }
}

— ラファエルH
ソース

0

クレームでWEB APIを使用する場合、これを使用できます。

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Inherited = true, AllowMultiple = true)]
public class AutorizeCompanyAttribute:  AuthorizationFilterAttribute
{
    public string Company { get; set; }

    public override void OnAuthorization(HttpActionContext actionContext)
    {
        var claims = ((ClaimsIdentity)Thread.CurrentPrincipal.Identity);
        var claim = claims.Claims.Where(x => x.Type == "Company").FirstOrDefault();

        string privilegeLevels = string.Join("", claim.Value);        

        if (privilegeLevels.Contains(this.Company)==false)
        {
            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized, "Usuario de Empresa No Autorizado");
        }
    }
}
[HttpGet]
[AutorizeCompany(Company = "MyCompany")]
[Authorize(Roles ="SuperAdmin")]
public IEnumerable MyAction()
{....
}

— マウリコ・ベロ
ソース