指定された例外とは別に、すべてのコントローラ/アクションへの役割/ユーザーアクセスを拒否する方法asp.net MVC

Question

ロールは、アクセスが許可されていないユーザーとサイト全体を指定できます。ユーザーはそうです。

私は、拒否されたユーザーがこの選択されたアクションとコントローラーに可能な限りアクセスできるように、選択されたアクションのauthorizeヘッダーの行に沿って何かを行うことができます。

私はロールを作成してこのロールに他のすべてのユーザーを追加し、このロールで承認属性を実行することができますが、これはプロジェクトが既に存在するため、何千もの行動ではなく何千もの行動で構築されている。

だから、任意の提案は、ここでは最も簡単な解決策は、おそらく承認が拒否機能を追加するカスタム属性だろう

Answer 1

を理解されるであろう。これはさまざまな方法で実装できます。たとえば、特定の役割に基づいて拒否することはできますが、アプリのさまざまな部分のユーザーを拒否したい場合は時間の経過とともに維持することが難しい場合があります。必要なときには異なる役割を作成してコードを変更する必要がありますそれをする。例えば

：拒否として

public class DenyAttribute : AuthorizeAttribute 
{ 
    protected override bool AuthorizeCore(HttpContextBase httpContext) 
    { 
     return !base.AuthorizeCore(httpContext); 
    } 
} 

これはAuthorizeAttributeの役割プロパティを使用します。

[Deny(Roles="DeniedUsers")] 

それ以外の場合は、誰もが役割にアクセスすることが指定されていない可能になり、ブロック全体的に認証されていないユーザーようなコントローラまたはグローバルフィルタレベルでのように、あなたがより高いレベルの認証のいくつかの種類が必要になること、しかし注意してください認証されていないユーザーを含む。そのため、おそらくのようなものを追加します。

return httpContext.User.IsAuthenticated && !base.AuthorizeCore(httpContext); 

も[AllowAnonymous]と一緒にこれを使用することが問題となる可能性があることに注意してください。

もう1つの選択肢は、現在のコントローラ/アクションに基づいて拒否を計算する、より柔軟なシステムを作成することです。このような何か：

public class DenyByControllerActionAttribute : AuthorizeAttribute 
{ 
    protected override bool AuthorizeCore(HttpContextBase httpContext) 
    { 
     var controller = httpContext.Request.RequestContext.RouteData.GetRequiredString("controller"); 
     var action = httpContext.Request.RequestContext.RouteData.GetRequiredString("action"); 
     var denyRole = string.Format("Deny{0}:{1}", controller, action); 
     return !httpContext.User.IsInRole(denyRole) && base.AuthorizeCore(httpContext); 
    } 
} 

あなたはフォーマットの役割にユーザーを追加することによって、アクセスを制御することができます「拒否{コントローラ}：{アクション}」、DenyHomeのようなので、何か：インデックスまたは「DenyAdmin：電子メール」 。

これには、ベースのAuthorizeCore機能を呼び出すことによって、デフォルトの権限アクセスも必要です。したがって、[Authorize]を `[DenyByControllerAction]に置き換えることができます。これは同じ方法で動作します（またはグローバルフィルタとして使用する）が、コントローラ/アクションへのユーザアクセスを拒否することができる役割を追加するだけです。