我已经实现了自己的自定义Authorize属性.
该属性既适用于控制器级别,也适用于操作级别.
[ClaimsAuthorize(Roles = "AdvancedUsers")] public class SecurityController : Controller { [ClaimsAuthorize(Roles = "Administrators")] public ActionResult AdministrativeTask() { return View(); } public ActionResult SomeOtherAction() { return View(); } }
目前,如果用户具有管理员角色但不具有AdvancedUsers角色,则他无法执行“管理任务”.
即使用户未在控制器级别授权,如何更改此行为以在操作级别执行安全检查?
目前,我能想到的唯一解决方案是实现2个属性:一个用于保护控制器,另一个用于保护操作.然后我将使用Order属性首先在动作级别执行一个.
解决方法
这不应该是可能的.想象一下MVC与授权过滤器一起使用的逻辑.
>确定控制器后 – 检查是否存在适用于该控制器的授权过滤器并执行该过滤器.
>当操作已知时 – 对操作执行相同操作.
在所有情况下,授权失败都会使管道短路.
