MVC 3 авторизации пользовательских ролей
-
11-12-2019 - |
Вопрос
Я новый пользователь MVC 3, и я пытаюсь сделать администратор через базу данных SQL. Прежде всего, у меня есть юридическое лицо, а администратор можно определить через поле Admin, которое является логическим типом в объекте клиента. Я хочу сделать доступ к администратору только на странице продукта, а не обычным клиентом. И я хочу сделать [разрешать (роль= «admin»)] вместо [авторизации]. Тем не менее, я не знаю, как я могу сделать роль админа в моем коде на самом деле. Затем в моем HomeController я написал этот код.
public class HomeController : Controller
{
[HttpPost]
public ActionResult Index(Customer model)
{
if (ModelState.IsValid)
{
//define user whether admin or customer
SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["rentalDB"].ToString());
String find_admin_query = "SELECT admin FROM Customer WHERE userName = '" + model.userName + "' AND admin ='true'";
SqlCommand cmd = new SqlCommand(find_admin_query, conn);
conn.Open();
SqlDataReader sdr = cmd.ExecuteReader();
//it defines admin which is true or false
model.admin = sdr.HasRows;
conn.Close();
//if admin is logged in
if (model.admin == true) {
Roles.IsUserInRole(model.userName, "admin"); //Is it right?
if (DAL.UserIsVaild(model.userName, model.password))
{
FormsAuthentication.SetAuthCookie(model.userName, true);
return RedirectToAction("Index", "Product");
}
}
//if customer is logged in
if (model.admin == false) {
if (DAL.UserIsVaild(model.userName, model.password))
{
FormsAuthentication.SetAuthCookie(model.userName, true);
return RedirectToAction("Index", "Home");
}
}
ModelState.AddModelError("", "The user name or password is incorrect.");
}
// If we got this far, something failed, redisplay form
return View(model);
}
.
и класс DAL -
public class DAL
{
static SqlConnection conn = new SqlConnection(ConfigurationManager.ConnectionStrings["rentalDB"].ToString());
public static bool UserIsVaild(string userName, string password)
{
bool authenticated = false;
string customer_query = string.Format("SELECT * FROM [Customer] WHERE userName = '{0}' AND password = '{1}'", userName, password);
SqlCommand cmd = new SqlCommand(customer_query, conn);
conn.Open();
SqlDataReader sdr = cmd.ExecuteReader();
authenticated = sdr.HasRows;
conn.Close();
return (authenticated);
}
}
.
Наконец, я хочу сделать пользовательские [авторизация (роль= «admin»)]
[Authorize(Roles="admin")]
public class ProductController : Controller
{
public ViewResult Index()
{
var product = db.Product.Include(a => a.Category);
return View(product.ToList());
}
}
.
Это мой исходный код сейчас.Нужно ли мне сделать класс «авторизеаэметеэазеатрибут»? Если я должен сделать, как я могу это сделать?Не могли бы вы объяснить мне?Я не могу понять, как установить конкретную роль в моем случае. Пожалуйста, помогите мне, как я могу сделать.Спасибо.
Решение
Ваша роль. Итрит .isinrole Использование не правильно.Вот что то [Авторизация (роль= «admin»)] используется для, не нужно его вызывать.
В вашем коде вы не устанавливаете роли где угодно.Если вы хотите выполнить пользовательские управлению ролью, вы можете использовать свой собственный поставщик ролей или хранить их в токене Authken, как показано здесь:
http://www.codeproject.com/Статьи / 36836 / Форма-аутентификация и роль-авторизация Обратите внимание на раздел:
// Get the stored user-data, in this case, user roles
if (!string.IsNullOrEmpty(ticket.UserData))
{
string userData = ticket.UserData;
string[] roles = userData.Split(',');
//Roles were put in the UserData property in the authentication ticket
//while creating it
HttpContext.Current.User =
new System.Security.Principal.GenericPrincipal(id, roles);
}
}
.
Однако более простые подход здесь состоит в том, чтобы использовать встроенное членство в ASP.NET. Создайте новый проект MVC, используя шаблон «Интернет-приложение», и все это будет настроить для вас.В Visual Studio Нажмите на значок «Конфигурация ASP.NET» выше обозревателя решения.Вы можете управлять ролями здесь и назначением ролям.
Другие советы
Я знаю, что этот вопрос немного старый, но вот как я сделал что-то подобное.Я создал пользовательский атрибут авторизации, который я использовал для проверки, имел ли пользователь правильный доступ к безопасности:
[System.AttributeUsage(System.AttributeTargets.All, AllowMultiple = false, Inherited = true)]
public sealed class AccessDeniedAuthorizeAttribute : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
base.OnAuthorization(filterContext);
// Get the roles from the Controller action decorated with the attribute e.g.
// [AccessDeniedAuthorize(Roles = MyRoleEnum.UserRole + "," + MyRoleEnum.ReadOnlyRole)]
var requiredRoles = Roles.Split(Convert.ToChar(","));
// Get the highest role a user has, from role provider, db lookup, etc.
// (This depends on your requirements - you could also get all roles for a user and check if they have the correct access)
var highestUserRole = GetHighestUserSecurityRole();
// If running locally bypass the check
if (filterContext.HttpContext.Request.IsLocal) return;
if (!requiredRoles.Any(highestUserRole.Contains))
{
// Redirect to access denied view
filterContext.Result = new ViewResult { ViewName = "AccessDenied" };
}
}
}
.
Теперь украсит контроллер с пользовательским атрибутом (вы также можете украсить индивидуальные действия контроллера):
[AccessDeniedAuthorize(Roles="user")]
public class ProductController : Controller
{
[AccessDeniedAuthorize(Roles="admin")]
public ViewResult Index()
{
var product = db.Product.Include(a => a.Category);
return View(product.ToList());
}
}
.