我没有完全掌握一些角色.使用[Authorize]属性
当你在控制器和动作上有[Authorize]属性时:
>当两者都有角色时,此角色将具有访问权限
>如果角色仅在Controller中定义,但不在Action中定义,则无法访问
>如果角色仅在Action中定义,而不在Controller中定义,则无法访问
我明白了,那是合乎逻辑的.您需要先访问控制器才能运行操作.
我没有得到的是为什么这不起作用:
[Authorize(Roles = "Algemeen Beheer,Admin,Coordinator,Secretariaat")] public class FacturatieGegevensController : Controller { [Authorize(Users = "Stefan.coordinator",Roles = "Algemeen Beheer,Admin")] public ActionResult Create(int instID) { return View(); } }
当我以具有角色协调员的用户Stefan.coordinator登录时,我可以访问控制器,但是我无法访问“创建操作”.
我认为这将是用户和角色之间的OR关系.不是吗?以及如何让它工作?
解决方法
访问Create方法的条件是:
((ROLE in { Algemeen Beheer,
Coordinator,Secretariaat })) [from controller-level] AND
((USER in { Stefan.coordinator }) AND
(ROLE in { Algemeen Beheer,Admin })) [from method-level]
一旦完成了所有的AND / OR,这导致简单:
USER in { Stefan.coordinator } AND ROLE in { Algemeen Beheer,Admin }
也就是说,在特定的AuthorizeAttribute中,用户和角色一起进行AND运算.在多个AuthorizeAttributes中,条件是AND.
想到这一点的最好方法是[Authorize]属性彼此不了解,因此每个属性都是独立执行的.首先是控制器级别的,然后是方法级别的.要访问该方法,您需要传递所有门.
编辑 – 有一个关于逻辑如何工作的问题,如上所述.
让:
A = ROLE is "Algemeen Beheer" B = ROLE is "Admin" C = ROLE is "Coordinator" D = ROLE is "Secretariaat" E = USER is "Stefan.coordinator"
由于控制器级[授权]属性为(A || B || C || D),方法级[授权]属性为(E&(A || B)),多个[授权] ]属性由逻辑AND表示,逻辑最终为(A || B || C || D)&& (E&(A || B)),减少到E&& (A || B),要求用户命名为“Stefan.coordinator”并成为“Algemeen Beheer”或“Admin”角色.由于用户Stefan.coordinator不属于这两个角色,因此检查失败.
对你的特殊问题..
如果要将自己的逻辑应用于[Authorize]属性检查,请继承AuthorizeAttribute并覆盖AuthorizeCore方法.这样你就可以说if(User ==“Stefan.coordinator”|| base.AuthorizeCore(…)){…}.