ASP.Net MVC:是否可以覆盖AuthorizeAttribute?
在云计算领域,ASP.Net MVC是一种流行的Web开发框架,而AuthorizeAttribute是ASP.Net MVC中的一种特性,用于限制对特定操作或控制器的访问。ASP.Net MVC的AuthorizeAttribute可以通过覆盖来实现更细粒度的权限控制。
在ASP.Net MVC中,可以通过创建自定义的AuthorizeAttribute来覆盖默认的AuthorizeAttribute,从而实现更细粒度的权限控制。例如,可以根据用户的角色、部门或其他属性来限制对特定操作或控制器的访问。这样,可以实现更灵活的权限管理,并确保只有授权的用户才能访问特定的操作或控制器。
在覆盖AuthorizeAttribute时,需要注意以下几点:
- 在自定义的AuthorizeAttribute中,需要重写OnAuthorization方法,以便在执行操作或控制器之前进行权限检查。
- 在自定义的AuthorizeAttribute中,可以使用HttpContext.User.Identity.IsAuthenticated来检查用户是否已经通过身份验证。
- 在自定义的AuthorizeAttribute中,可以使用HttpContext.User.IsInRole(role)来检查用户是否属于特定的角色。
- 在自定义的AuthorizeAttribute中,可以使用HttpContext.User.Claims.FirstOrDefault(c => c.Type == claimType && c.Value == claimValue)来检查用户是否具有特定的声明。
总之,ASP.Net MVC的AuthorizeAttribute可以通过覆盖来实现更细粒度的权限控制,从而实现更灵活的权限管理。
相关·内容
我需要阻止用户从多个会话登录到我的ASP.NET MVC应用程序,并了解如何做到这一点。
现在我想添加一个MVC转折:控制器上的一些公共方法是不受保护的,我并不关心谁访问它们,还有一些受[Authorize]属性的保护,以确保只有登录的用户才能访问它们。现在,我想自定义AuthorizeAttribute,以便标记了该属性的所有方法都将执行相关问题中描述的无多次登录验证,并抛出某种类型的LoggedInElsewhereException,以便客户端可以了解检查是否失败以及失败的原因。
我相信这是可以做到的,但如何做到呢?
浏览 0提问于2011-09-20得票数 0
回答已采纳
1回答
自定义认证问题
、、、、
我正在实现ASP.NET MVC中的自定义身份验证,如果用户没有登录,我将遇到重定向登录/注册页面的问题。
我为IsAuthenticated使用了一个全局变量,如果这是假的,我希望将所有请求重定向到Account/LoginIndex控制器。我不想违反DRY,并在所有控制器中添加一个过滤器或基本检查,那么是否有一个入口点可以重定向到操作,即布尔值为false?我该怎么做?我看了一下ActionFilters,但是我不知道将它作为属性添加到哪里。我还查看了过滤器和修改global.asax文件。这些都不管用。控制器依赖于被登录的用户(否则它是错误中心),那么我将如何做到这一点?谢谢。
浏览 0提问于2016-05-02得票数 0
回答已采纳
2回答
在我工作的地方,我们为使用WebForms的内部web应用程序提供了一个自定义的安全/身份验证机制。现在,我们正在ASP.NET MVC 3中进行开发,并希望扩展Controller类以支持这一点,就像我们对WebForm的Page类所做的那样。然后我们将把它打包到一个自定义共享DLL中。
我想知道这在与未来MVC版本的兼容性方面有多安全。如果ASP.NET MVC 4.0明年推出,我们的自定义控制器类(参考ASP.NET MVC3.0控制器类)仍能在MVC4.0应用程序中工作?
有没有办法不依赖于特定的MVC版本而以某种方式扩展Controller?
不是这个的副本:
浏览 4提问于2012-06-14得票数 0
回答已采纳
我们有一个用asp.net 2.0编写的现有应用程序。然后我们使用mvc3创建了一个新模块,显然是asp.net 4.0。是否有人尝试将2.0中的身份验证提交到mvc3站点以能够访问mvc3页面?谢谢!
浏览 3提问于2011-08-15得票数 1
我正在尝试编写一个ASP.NET MVC应用程序,其中用户权限是基于分数而不是硬编码的角色本身。我曾尝试研究授权和成员提供程序,但我找到的所有信息都指向基于角色的身份验证,而这并不是我的模型的一部分。
在写这个问题的时候,我想知道我是否在研究正确的东西。这是一个自定义的角色提供程序吗?这样的事情真的存在吗?我突然想到,有一个自定义的角色提供者,它可以检查用户的点数,以确定他们是否在特定的角色中,这可能是最简单的方法,但我不知道我需要使用与ASP.NET MVC相关的关键字来查找正确的信息。
实现这一目标的最佳方法是什么?
浏览 0提问于2009-10-31得票数 3
回答已采纳
1回答
在ASP.NET MVC4中,是否有任何方法连接到登录进程(我想在登录后直接检查某些条件)。我正在使用Visual提供的默认MemberShip类。
浏览 4提问于2013-12-09得票数 0
回答已采纳
我有一个ASP.NET MVC站点,它在操作和控制器类上都使用带有自定义AuthorizeAttribute的表单身份验证。
我的web.config文件中有以下内容:
<authentication mode="Forms">
<forms loginUrl="~/Account/LogOn" timeout="2880" />
</authentication>
当网站处于“正常”模式时,这项功能可以正常工作。需要登录的用户将重定向到此页面。
但是当我切换到测试模式时,所有的控制器都会被锁定,Accou
浏览 2提问于2012-01-13得票数 4
回答已采纳
我正在使用内置的授权过滤器的asp.net mvc。我唯一的问题是,当我的用户没有权限执行某个操作时,我不希望它将用户重定向到登录页面……它始终将他们带到登录页面,即使他们已经登录(但不是以管理员角色登录)。我希望在他们尝试执行to..anyone不允许的操作后,能够决定将他们带到哪里?
浏览 2提问于2010-01-27得票数 1
我喜欢ASP.Net MVC Authorize属性,我可以扩展它,构建自己的逻辑,并用它装饰我的控制器。但,
在我的体系结构中,我有一个公共服务层(C#类库)。最终用户可以通过ASP.Net MVC网站或我公开的REST WCF Webservice层访问我的应用程序。我的asp.net MVC应用程序和REST WCF服务层依次访问我的公共服务层。
我希望授权发生在这个公共服务层,而不是在ASP.Net MVC Controller或我公开的REST服务层中。
我可以创建ASP.Net MVC Authorize之类的属性来修饰公共C#类库中的方法吗?此属性将接受参数,并将决定当前用户是否
浏览 2提问于2009-07-29得票数 5
回答已采纳
是一个asp.net MVC应用程序。我正在使用Asp.NetCore.Identity
我希望在登录后,如果“密码从未更改过”(我知道如何设置)将他重定向到ChangePassword页面,并阻止任何其他页面,直到更改密码。(或者当他想访问其他页面以在ChangePassword上重定向时)。
有什么想法吗?也许是为了覆盖authorize属性?
浏览 24提问于2018-06-09得票数 2
回答已采纳
1回答
我正在为ASP.NET使用MVC 5。
我正在尝试创建一个自定义的授权属性。用户通过OpenId对我的应用程序进行身份验证,如果存在会话变量的话。我已经将OpenIdAuthorize添加到我的控制器中。当我在登录后查看它们时,我会在我的应用程序中返回到/openid/index。存在会话变量。我添加了断点,但从未到达。
public class OpenIdAuthorizeAttribute : System.Web.Mvc.AuthorizeAttribute
{
protected override bool AuthorizeCore(HttpContextBase htt
浏览 2提问于2017-06-15得票数 1
我想在MVC3.0项目中的区域上应用ASP.Net成员资格,但我不想把Authorize放在控制器中。这是可能的吗?如果是这样,那么我如何实现这一点。
浏览 1提问于2012-09-06得票数 0
我正在开发一个使用ASP.NET MVC3的项目,现在使用MembershipProvider,RoleProvider AuthorizeAttribute和自定义。因此,在代码的某些部分使用以下代码:
[Logon(Roles = "login, test1")]
这段代码可以很好地工作,用于MembershipProvider代码:
public override string [] GetRolesForUser (string username)
{
var = UsuarioRepository.GetListaPermissoesByUsuarioEmai
浏览 0提问于2012-06-21得票数 0
1回答
我是否正确地指出,在ASP.NET 5中,ResponseCacheAttribute已经取代了以前ASP.NET MVC版本中使用的?它能用来缓存API控制器的响应吗?如果没有,微软会提供什么呢?我尝试了两种免费的WebAPI2解决方案,但一点也不感兴趣。
浏览 1提问于2015-05-07得票数 0
回答已采纳
众所周知,在asp.net Mvc5应用程序的默认安全系统中,我们可以通过角色名来访问控制器。但是当我们将角色名设置在控制器之上进行授权时,它的硬编码不是动态的。所以我想通过控制器名称和方法来设置授权。这就是为什么我设计了一个表,它有一些列,比如:控制器名称,isEditable,isDeleteae,roleid现在我想通过控制器名称在控制器上面授权。未使用角色名称。有人能帮帮我吗?
浏览 1提问于2015-10-21得票数 0
我一直在做大量的研究,寻找保护我的MVC5应用程序的最佳方法。
我们有一个带有许多WebAPI控制器的Web.csproj,还有一个有两个区域的MVC站点-一个用于管理,然后是面向公众的网站。
在阅读了之后,我决定采用这种方法。
然而,我个人对基本控制器的使用并不满意(我的一些理由是使用)。
那么,鉴于我使用的是MVC5 (ASP.Net身份和OWIN身份验证)--有谁能说明一下每种方法的优缺点吗?
浏览 0提问于2014-04-16得票数 6
回答已采纳
在ASP.NET MVC应用程序中,我希望某些控制器只能由授权用户访问。AuthorizeAttribute在这方面做得很好。但是,我也希望这些控制器提供对某些IP号码的访问,即使远程用户是未经授权的。我是否应该覆盖AuthorizeAttribute来提供此功能,或者是否有更好的解决方案?
浏览 0提问于2009-09-15得票数 4
回答已采纳
1回答
在我公司的intranet web应用程序中,许多操作都有一个粒度的、自定义的安全系统,用于我们MVC控制器中的每个action/http方法中。基本上有两个枚举;一个是可以执行的一组操作(这是极细粒度的;实际上每个可能的操作在枚举中都有相应的值),另一个是我们的一组子公司。对于这个问题的上下文,我将这些枚举称为Action和Company。
我们系统中的每个用户都与一个Company和零个或多个Action相关联。在控制器中的每个方法中,在某个地方会检查当前用户是否有正确的Action和Company值来使用该功能。每个控制器都有一个"UserHelper“注入到控制器中,其中包含与
浏览 5提问于2015-10-21得票数 1
回答已采纳
2回答
我需要一个新的ASP.NET MVC应用程序。当用户登录到站点时,我们需要调用一个黑匣子,以查看是否允许用户使用Controller/Action。
在默认情况下,我们所有的控制器都有授权属性(登录除外),但是只有在黑匣子显示用户可以的情况下,才能调用某些操作。
我将如何获得MVC子系统(我猜是通过某种类似于自定义授权的方式)?当登录用户试图访问“控制器操作”时,若要使用未经授权的响应,黑匣子表示无法访问该操作。
我们称之为BlackBox的方式如下:
bool canAccess = BlackBox.HasAccess(controllerName, ActionName, userGu
浏览 2提问于2013-11-28得票数 1
回答已采纳
1回答
如何确保剔除模板的安全?
、、、
我使用下一段代码动态加载模板:
$(document).ready(function() {
$("#templateContainer").load("templates.html");
}
是否有任何方法可以使模板内容不受公共负载的影响?我正在使用ASP.NET,MVC等。
浏览 2提问于2014-02-17得票数 0
回答已采纳
在asp.net MVC3中是否有一种集成的方式,允许基于一天中的时间进行身份验证和操作?例如,如果现在是18:00,属于特定角色的用户不被允许登录,或者如果他们已经通过身份验证,他们将被自动注销或无法执行操作。
我猜在登录方法中,我可以检查用户角色和一天中的时间,然后在每个操作上,我也会检查角色和一天中的时间和许可,但有没有更简单的方法来完成这一点?
更新:我想没有更简单的方法来设置时间和用户/角色,所以我最终实现了答案(解决方案)。
浏览 0提问于2012-06-21得票数 0
回答已采纳
我想知道是否/如何可以覆盖ASP.NET MVC中的默认授权行为。我知道我可以创建一个新的Action过滤器,创建我自己的属性等等;我仅仅感兴趣的是,我是否可以简单地更改授权行为并用我自己的代码替换它的工作呢?
编辑:男孩和女孩。我感谢您的输入,但正如我所写的,我是而不是,希望引入一个新的XYZAuthorize属性。我知道该怎么做。我想保留授权表示法,但只想改变它的工作方式。
浏览 0提问于2009-08-22得票数 10
回答已采纳
2回答
我有一个ASP.NET MVC网站,在那里我建立了一个权限系统。例如,有一些链接在当前用户没有足够的权限时是隐藏的。但是,如果他们手动键入该链接的URL,他们仍然可以访问内容。
我知道我可以使用[Authorize]属性来阻止没有正确用户角色的用户,但我如何实现自己的属性来阻止不符合自定义要求的用户的操作,而不必在每个操作中编写手动检查?
浏览 16提问于2012-06-19得票数 3
回答已采纳
我猜想,如果在asp.net中,mvc不允许某些用户访问操作方法。
此外,“授权”允许用户访问一些操作方法:
[Authorize(Users="*")]
public ActionResult method1() { ... }
用于排除的类似注释,例如:
[Deny(Users="user1")]
public ActionResult method1() { ... }
浏览 2提问于2014-10-30得票数 1
回答已采纳
我研究mvc3,我读了很多文章或在asp.net网站上看视频。在我了解了一些关于mvc3的知识之后,所以我对、授权属性来验证用户是否登录有疑问。创建页面以验证用户时的默认代码如下所示:
[HttpPost]
public ActionResult LogOn(LogOnModel model, string returnUrl)
{
if (ModelState.IsValid)
{
if (Membership.ValidateUser(model.UserName, model.Password))
浏览 0提问于2013-05-21得票数 1
2回答
我正在寻找一个在acl的asp.net mvc中的解决方案,就像cakephp由她的ACL组件提供的那样。
我想创建acl,以便可以根据角色和用户分配权限。
谢谢
浏览 1提问于2011-05-12得票数 6
过去,我常常创建一个自定义MembershipProvider来与自定义数据库或逻辑通信,如下所示:
if (Membership.ValidateUser(model.EmailAddress, model.Password))
{
(...) // validation logic
FormsAuthentication.RedirectFromLoginPage(model.EmailAddress, false);
}
它验证了我的用户,我的意思是:用户名显示在右上角,用户可以访问授权控制器方法,等等。
当我在MVC5中尝试这种方法时,什么都没有发生,它的行为就像用户没
浏览 3提问于2015-04-29得票数 0
我想关闭通过AJAX发布原始JSON的CSRF漏洞。
我熟悉MVC使用ValidateAntiForgeryTokenAttribute和@Html.AntiForgeryToken()自动预防CSRF的机制;然而,如果我理解正确的话,这种机制要求POST的Content-Type是application/x-www-form-urlencoded (或类似的)。在ASP.Net MVC中是否有一个内置的机制,可以拒绝Content-Type为application/json的POST请求的CSRF?如果不是,我是否坚持将防伪放入JSON对象本身?您能推荐一种技术来保护JSON POST请求免
浏览 2提问于2011-09-01得票数 16
回答已采纳
因此,我有一个现有的Windows phone7应用程序,它使用我自己的授权(播放器使用别名和密码登录,它会根据数据库进行验证)转到MVC web服务。
现在,我正打算转向ASP.NET Web API,但我对如何为其增加安全性感到有点困惑。
我看到了AuthorizeAttribute,但我需要做什么才能允许它们获得授权?
这里的任何指导都将不胜感激。
浏览 0提问于2012-08-06得票数 3
回答已采纳
1回答
有没有办法在两个不同的项目上使用ASP.NET标识机制??即。我希望对MVC项目和WebAPI项目使用单一的身份验证机制。有可能吗?
浏览 0提问于2015-04-23得票数 4
我必须在asp.net my中开发一个授权过滤器,我的站点中有五类用户,我的站点使用自定义创建的身份验证system.Now,我有一个控制器操作,其中3种类型的users.How应该可以访问它来创建过滤器(基本上是授权),并使用它来满足我的需求?我认为我需要用参数创建授权过滤器,我应该能够使用类似的东西。
AuthorizeUsersType=“行政,会计,操作员”
使用的技术: Asp.net MVC
提前谢谢
浏览 2提问于2010-08-12得票数 2
2回答
我正在编写一个网站,用户应该有能力注册/登录& -out。
我有一些关于互联网应用模板的问题。
从默认的带有ASP.net模板的MVC 4应用程序开始是安全的吗?
互联网模板是否足以在现实世界的应用中使用?
这方面有什么问题吗?
微软互联网应用程序模板的优缺点是什么?
还有其他可以与ASP.net MVC 4集成的用户注册系统吗?
浏览 3提问于2014-01-14得票数 2
回答已采纳
当经过身份验证的用户没有权限时,Asp.net MVC2会重定向到使用response 302登录页面。
我想分成两个行动
如果用户未通过身份验证,则按它所做的操作,重定向到登录页。如果用户经过身份验证,但没有所需的权限,则返回适当的http状态代码,并显示不显示权限的页面。
有什么办法吗?还是我在授权和表单认证方面做错了什么?我唯一能想到的方法是编写自定义的授权属性,这是我想要避免的。
浏览 2提问于2010-12-16得票数 34
2回答
问题摘要:在ASP.NET MVC中,是否有一种干净的方法来防止特定的用户或角色访问某个操作?
显然,下面将允许角色Admin和Editor访问整个控制器。
[Authorize(Roles = "Admin, Editor")]
public class HomeController : Controller
{
public ActionResult Index()
{
return View();
}
public ActionResult About()
{
return View();
浏览 6提问于2015-06-19得票数 1
回答已采纳
当与一起使用ASP.NET webform应用程序时,可以创建一个新角色,向它添加/删除用户,(最重要的是)定义适用于该角色的规则;例如,您有一个文件夹树,它允许您选择要应用某个特定角色的文件夹。所以,你可以做你所有的工作,而不离开你的WSAT舒适。
使用ASP.NET MVC,我没有找到这样的功能。即使可以从WSAT添加一个新角色并向其添加/删除用户,我仍然需要转到我的应用程序代码和装饰控制器和/或属性的操作,如下所示:
[Authorize(Roles = "role1, role2, ...")]
那么,使用工具创建角色的意义是什么呢?另外,假设管理员不知道如何编写代码,
浏览 6提问于2010-11-20得票数 1
回答已采纳
我正在考虑编写自定义的授权属性,对于输出缓存我不太确定。属性如下所示:
public class AuthorizeWithAreasAttribute : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
if (!filterContext.HttpContext.User.IsInRole(Roles))
{
var urlHelper = new UrlHe
浏览 3提问于2011-09-28得票数 0
回答已采纳
我有一个使用ASP.Net MVC3和角色成员资格的项目。我在每个控制器中都使用授权。例:
[Authorize(Roles = "Administrator")]
public ActionResult Index(string q, int i)
{
return View(model);
}
如果某人没有管理员的角色,那么默认情况下它会重定向到登录页面。如何更改它,以便将其重定向到视图/Shared/UnAuthorize.cshtml?或者,如果有人没有管理员的角色,它会显示消息框(警报)?
提前谢谢。
浏览 12提问于2011-10-05得票数 18
回答已采纳
2回答
我有一个MVC应用程序,它根据存储在会话中的值限制用户访问控制器操作。
我的实现如下:
public partial class MyBookingController : CruisesDesktopControllerBase
{
private bool CheckLoggedIn()
{
return MyBookingSessionInfo.OzBookingId > 0;
}
public virtual ActionResult Summary()
{
//Ensure user is logged
浏览 1提问于2016-04-11得票数 0
我正在创建一个电子商务mvc5网络应用程序。我有一个动作"ListItem“,用户可以列出要出售的商品。我创建了一个自定义授权属性,该属性检查用户是否在卖方角色中,如果没有,则将用户重定向到安装操作,在该设置操作中,用户可以注册公司名称和taxId等,以便添加到卖方角色中。现在,用户注册了(并添加到卖方角色),我希望通过向“安装操作”传递一个“返回url”,将用户重定向到"listItem操作“(用户可以在其中继续并列出他们的项目)。我不知道这是如何实现的(我对asp.net mvc相当陌生),有人能帮我吗?谢谢。
浏览 2提问于2017-05-10得票数 0
回答已采纳
在ASP.NET MVC项目中,当您用Authorize修饰类或方法而授权失败时,站点会自动重定向到登录页(使用web.config中指定的loginUrl )。此外,ASP.NET MVC框架中的一些东西将原始请求的URL作为ReturnUrl参数传递。
添加此ReturnUrl的责任是什么?我在项目模板中找不到它的任何代码。我还查看了ASP.NET堆栈中AuthorizeAttribute的代码,但在那里找不到任何东西。我还尝试在整个ASP.NET堆栈的源代码中搜索"returnurl“,但什么也找不到。
我问这个问题的原因是我在这个过程中发现了一个bug。你可以在一个全新的互联网
浏览 2提问于2013-05-01得票数 16
2回答
我使用WindowsMVC4开发了一个web系统,我必须使用ASP.NET Web API和.NET Forms Application执行集成。
到目前为止,一切都很好,但现在我需要使用Windows窗体应用程序对用户进行身份验证,该应用程序将在internet上打开。
我的应用程序已经包含了在数据库中注册的用户,并且当前是使用ASP.NET MVC的“Authorize”组件进行身份验证的。
对于通过客户机(Windows Forms Application)使用的数据,目前我使用库。
如何安全地完成此任务?有人有什么建议吗?
浏览 1提问于2012-11-13得票数 4
回答已采纳
我正在考虑在我当前的站点中创建一个经过安全调整的MenuLinks,我想知道MVC4中最简单的方法是什么来确定当前用户是否只使用控制器名称和操作名称就可以访问给定的控制器和操作。
我遇到了一些问题/答案,其中一些问题/答案指向“解决方案”的链接断开,还有几个问题/答案针对以前版本的MVC,看起来相当复杂。我想,如果有必要,我会创建给定控制器的实例,获取authorize属性,然后手动执行安全检查,但我真的希望在MVC4中有一种更简单的方法!:)
本质上,我正在寻找关于如何在下面实现"UserHasAccessTo“的等价物或建议:
public static MvcHtmlSt
浏览 0提问于2013-09-05得票数 0
在windows域intranet站点(使用<authentication mode="Windows" />)上工作时,我遇到了以下问题:
[Authorize(Roles = "Domain Users, Domain Admins")]
public class MyController: Controller {...}
由于活动目录组名称中的空格,任何用户都无法使用此控制器。因此,我是否可以让MVC (或ASP.Net)正确地授权,同时使用角色名称(这里是AD组的名称)和空格?
只是类似的问题没有回答:
。
浏览 3提问于2012-10-25得票数 6
回答已采纳
另一个希望很小的mvcSiteMap问题是:
如果用户未被授权,我只想显示几个节点,例如登录链接。我真的需要写我自己的可视性提供者吗?
或者,对于表示“未授权”的asp.net mvc操作是否有一个筛选器属性?
干杯,达菲
浏览 1提问于2011-11-09得票数 0
回答已采纳
2回答
我目前正在使用MVC4web API项目类型开发一个Web API。我目前处于需要为API添加一些安全性的阶段。我知道Authorize属性,但是,客户端可能更喜欢不同的方法。为此,我尝试覆盖我自己的类中的Authorize属性,作为基本的开始,我只是让AuthorizeCore始终返回false,这应该意味着未通过身份验证。如果我随后将其添加到控制器中的Action中,则该操作将始终完成,并且我将始终检索数据。我认为原因可能是自定义属性没有在web.config文件中注册,但是,如果不使用表单身份验证,我不确定如何处理此问题。
我用来测试的代码是一个全新的MVC4web API项目,具有如下
浏览 0提问于2012-10-14得票数 11
回答已采纳
在理解MVC的成员资格时,我遇到了一个很大的问题。我们的项目中有名为"Admin“和"SuperAdmin”的控制器,它们仅限于某些用户。
我是否必须在每个操作上使用Authorize Roles属性,或者是否可以使用ActionFilter来检查用户是否可以查看某个页面?
如果我必须使用用户角色属性,我是否必须在ASP.NET Configuration tool上配置每个用户?例如,"SuperAdmin“将只有几个用户(顶部大约有3个),这使得ASP.NET配置工具易于使用,并告诉它这些用户是谁。但是“管理员”用户将会更多...如何对其进行配置?
我完全迷路了!
浏览 1提问于2009-08-05得票数 0
回答已采纳
根据各种文章(例如,和),ASP.NET上的属性结果可以是、缓存、和,在调用控制器操作时不会再次执行。
这种行为在我的情况下是不可取的(例如,我有一个基于我自己的属性和in的授权系统,需要每次执行的角色检查,以及其他事情)。
如何防止ASP.NET MVC缓存我的属性/属性执行结果,并确保它们在每次时都被执行
浏览 4提问于2009-09-17得票数 6
回答已采纳
我读过一篇关于asp.net mvc安全性的文章。它还提到,创建自定义授权的更安全的方法是创建AuthorizeAttribute的一个子类,因为重写AuthorizeCore方法将确保我从内置到AuthorizeAttribute的特性中获益,并且我不需要担心细节安全嵌入或从头创建所有东西。详情如下:
public class CustomAuthAttribute : AuthorizeAttribute {
private bool localAllowed;
public CustomAuthAttribute(bool allowedParam) {
localAllow
浏览 0提问于2014-10-22得票数 0
我正在构建一个Asp.net MVC3应用程序(使用Razor),我有一个数据库,其中包含有关用户和角色的信息。
这是我数据库的简化方案。
用户(IDUser,登录,密码);
(IDRole,Name);
( UserInRole(IDUser,IDRole);//对许多人来说
看起来是这样的:
我读过关于使用AuthorizeAttribute、为被标记的用户控制页面以及特定角色的文章,我还研究了如何使用我的数据库来控制用户和角色。所以我的问题是:
可以使用我的数据库来管理用户和角色,并在我的操作中使用授权?如果是的话,我是如何做到的呢?是否可以使用会话代替cookie来管理登录并
浏览 0提问于2012-03-04得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
