給Asp.net MVC Forms 驗證設定角色存取控制

  當我們使用Asp.net MVC Forms方式驗證使用者， 然後設定Controller 或 Action 的 Authorize屬性時， 預設情況下只有Users屬性可以設定（這裡的Users通常是指使用者登入名稱）， 我們無法直接設定使用者的角色資訊 ， 當建立一個依賴角色的應用時(又不想麻煩配置Membership)，我們有必要給認證使用者加上角色資訊，下面是具體方法 ：

1.Web.config 配置 ,以下設定標明我們使用Forms驗證 ， 所有沒有授權的使用者無法訪問帶Authorize標記的 Controllers 和 Actions

<system.web>

<authentication mode="Forms"><forms loginUrl="~/Account/LogOn" timeout="2880" cookieless="UseCookies" path="/" name=".ASPXAUTH" /></authentication><authorization><deny users="?"/></authorization></system.web>

2 Global.asax.cs 添加驗證請求事件代碼 ，如果使用者資訊已經設定， 則重新構造帶角色資訊的使用者物件 ， 角色資訊從身份憑證票據的UserData屬性中擷取，多個角色以逗號隔開。

 protected void Application_AuthenticateRequest(object sender, EventArgs e)        {            var app = sender as HttpApplication;            if (app.Context.User!=null)            {                var user = app.Context.User;                var identity = user.Identity as FormsIdentity;                // We could explicitly construct an Principal object with roles info using System.Security.Principal.GenericPrincipal                var principalWithRoles = new GenericPrincipal(identity, identity.Ticket.UserData.Split(','));                // Replace the user object                app.Context.User = principalWithRoles;                           }        }

預設情況下角色資訊是空的，如：

替換後， 如 ：

 

3.使用者合法性驗證通過後， 構造帶角色資訊的加密身份憑據 ， 角色資訊儲存在票據的UserData中。 

        [HttpPost]        public ActionResult LogOn(User user)        {            // check user by quering database or other ways. skip this logic.            string userRoles = "admin,user,powerUser";            bool isPersistent = true;            int version = 0;            double persistentMinutes = 60.00; // minutes            string userName = user.Name;            string cookiePath = FormsAuthentication.FormsCookiePath;            FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(version, userName, DateTime.Now, DateTime.Now.AddMinutes(persistentMinutes), isPersistent, userRoles, cookiePath);            string encryptedTicket = FormsAuthentication.Encrypt(ticket);            HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);            Response.Cookies.Add(cookie);            return Redirect(Request.QueryString["returnUrl"]);        }

4. 使用角色資訊控制使用者對Controller 或 Action 的訪問 ， 因為我們上面設定使用者擁有admin , user , powerUser 角色， 所以使用者有權訪問此方法

 public class HomeController : Controller    {        [Authorize(Roles="admin,powerUser")]        public ActionResult Index()        {            //使用者擁有 admin,user,powerUser 角色， 所以可以訪問此方法。            return View();        }    }

5. 以下是AuthorizeAttribute AuthorizeCore方法的源碼 ， 我們可以看到其中只要使用者有AuthorizeAttribute.Roles設定中的任意角色， 就可以通過AuthorizeAttribute 的審核

  // This method must be thread-safe since it is called by the thread-safe OnCacheAuthorization() method.        protected virtual bool AuthorizeCore(HttpContextBase httpContext)        {            if (httpContext == null)            {                throw new ArgumentNullException("httpContext");            }            IPrincipal user = httpContext.User;            if (!user.Identity.IsAuthenticated)            {                return false;            }            if (_usersSplit.Length > 0 && !_usersSplit.Contains(user.Identity.Name, StringComparer.OrdinalIgnoreCase))            {                return false;            }            if (_rolesSplit.Length > 0 && !_rolesSplit.Any(user.IsInRole))            {                return false;            }            return true;        }

以上同樣適用於 Asp.net WebForms 應用 。