Пользовательская авторизация на основе действий Asp.Net MVC

Question

У меня есть веб-приложение, написанное на asp.net mvc с беглым nhibernate.

Иерархия данных: должность -> Категория -> Компания

Роли пользователя: пользователь, администратор

Я пытаюсь найти архитектуру для разработки пользовательской авторизации,Пользователь может быть членом нескольких компаний.Также пользователь может быть администратором компании, в то время как он может быть просто членом другой компании.

Также мы хотим разработать пользовательскую авторизацию на основе контроллера, действия или идентификатора действия.Например, пользователь может быть администратором только одной категории.А именно,в нашей будущей системе будут пользователи, группы пользователей, в которых пользователи и группы принадлежат компании.Хотя к ним будет применяться пользовательская авторизация на основе URL (contoller / action / id).

любые рекомендации, полезные ссылки и т. Д.

Answer 1

На самом деле это немного сложно - вы можете переосмыслить пользовательскую авторизацию и рассмотреть вопрос о заполнении ролей, скажем, Application_AuthenticateRequest, а затем использовать атрибут [Authorize], чтобы выполнить фактические проверки, принадлежит ли пользователь этим ролям. вы применяете его непосредственно к методу действия и избегаете нестандартной путаницы, но в основном получаете тот же результат.

у нас аналогичное обсуждение, которое еще не решено по адресу: Вопросы о настройке Custom Security для MVC3 с использованием переопределенного атрибута AuthorizeAttribute, безопасности потоков, ChildActions и кэширования