asp.net - 有没有更好的方法在 ASP.NET 框架中实现基于角色的访问?
问题描述
基本上,我过去几天一直在试图弄清楚如何将简单的管理员和成员角色添加到我正在为朋友开发的网站上。(我使用的是 ASP.NET Framework 5.2.7.0)。我知道微软内置了一个很好的基于角色的访问功能,允许您将类似的东西放在[Authorize Role=("Admin")控制器的顶部;但是我根本无法让它工作,而且我发现的大部分资源都是针对 ASP.NET Core 的。
我尝试修改我的 web.config 文件以启用基于角色的访问(并希望将角色等迁移到我的数据库)。但由于我无法弄清楚这一切,我尝试了一条更老套的路线。(**我不是高级程序员,我已经这样做了大约一年,绝不是专业人士)。这就是我在尝试验证用户是否是管理员时基本上想出的(这也不起作用)。
[Authorize]
public class AdminController : Controller
{
private LDSXpressContext db = new LDSXpressContext();
public ActionResult AdminPortal()
{
IsAdmin();
return View();
}
private ActionResult IsAdmin()
{
string name = User.Identity.Name;
//The User.Identity.Name stores the user email when logged in
var currentUserObject = db.accounts.Where(x => x.clientEmail == name);
Account currentUser = new Account();
foreach (var user in currentUserObject)
{
//I loop through the results, even though only one user should
//be stored in the var CurrentUserObject because it's the only
//way I know how to assign it to an object and get its values.
currentUser = user;
}
if (currentUser.role == 2) //the number 2 indicates admin in my db
{
return null;
}
else
{
//Even when this is hit, it just goes back and returns the
//AdminPortal view
return RedirectToAction("Index", "Home");
}
}
}
现在我几乎肯定这不是检查登录用户是否是管理员的一种非常安全的方法,但我希望它至少可以工作。我的想法是当有人试图访问 AdminPortal 时,IsAdmin 方法将运行并检查用户是否是数据库中的管理员。如果是,则返回 null 并显示 AdminPortal 视图,如果它们不是 Admin,则将它们重定向到主页上的 Index 视图。但是,AdminPortal 页面始终显示给任何用户,这似乎也不起作用。我什至已经进入了代码并观察了它在return RedirectToAction("Index", "Home");操作上运行,但随后它跳回到了 AdminPortal 方法并只返回了 AdminPortal 视图。所以我的问题是:
1) 如果有人碰巧在 ASP.NET 框架中使用基于角色的访问,我会喜欢一些关于如何设置它的提示
或者,
2)如果所有其他方法都失败并且我需要使用我的hacky方法,为什么即使用户不是管理员,它也会继续返回AdminView。
**注意:我知道我可以创建一个函数,如果用户是否是管理员,则返回 true 或 false,然后在 AdminPortal 控制器中有一个 if/else 语句,该语句将返回视图为 true,另一个为 false,但是我不想在每个 ActionMethod 上都实现它,最好将它保持在一行,或者[Authorize Role="Admin]如果可能的话只在控制器上方。
非常感谢你们提供的任何帮助,我几天来一直在尝试研究和解决这个问题,并决定联系社区并询问!
解决方案
至少,您需要对正在做的事情进行一些调整:
[Authorize]
public class AdminController : Controller
{
public ActionResult AdminPortal()
{
if(IsAdmin())
{
return View();
}
return RedirectToAction("Index", "Home");
}
private bool IsAdmin()
{
bool isAdmin = false;
using(LDSXpressContext db = new LDSXpressContext())
{
string name = User.Identity.Name;
//The User.Identity.Name stores the user email when logged in
// @see https://docs.microsoft.com/en-us/dotnet/api/system.linq.enumerable.singleordefault
var currentUser = db.accounts.SingleOrDefault(x => x.clientEmail.Equals(name, StringComparison.OrdinalIgnoreCase));
// If the email doesn't match a user, currentUser will be null
if (currentUser != null)
{
//the number 2 indicates admin in my db
isAdmin = currentUser.role == 2;
}
}
return isAdmin;
}
}
首先,DbContext 实例最多只能在 HTTP 请求的生命周期内使用。将其从类/控制器级别移动并将其放置在 using 块中可确保正确处理它。
接下来,您的IsAdmin函数实际上只需要根据您的查找返回一个真/假值,然后 AdminPortal 操作可以决定如何处理该结果。
由于电子邮件似乎是表中的唯一字段,因此请使用SingleOrDefault或FirstOrDefault LINQ 扩展来获取单个匹配记录。您使用哪一个取决于您,但如果它确实是一个独特的值,SingleOrDefault则更有意义(如果多于一行匹配,它将引发异常)。将StringComparison标志与String.Equals扩展方法一起使用会使您的搜索不区分大小写。有一些特定于文化的版本,但序数匹配是我通常使用的,在这里。
实现某个版本的身份框架对于这里的答案来说有点太长了,但是可以实现基于声明的身份验证方案而无需太多工作。不过,这可能需要一个单独的答案。
推荐阅读
- css - top/bottom 和 left/right: auto 如何与绝对定位一起工作?
- leaflet - 如何从本地 geojson 文件在传单地图上添加点?
- python - 从 pyspark 数据框字符串列中获取第一个数值到新列中
- azure - Azure AD 保护来自 Angular 前端的 .Net Core Web API 3.1 返回 401 和 MSAL
- php - 如何在PHP中使用动态键遍历数组
- mysql - Time column value change without touching it
- vb.net - 如何读取通过 GetFiles 函数找到的文件的文件属性?
- r - 使用一个向量中的值来更改 R 中另一个向量中的值(for 循环)
- react-navigation - 如何使用反应导航删除双标头?
- html - 如何在附图中制作像这样的粘性/固定侧导航?