ASP.Net MVC comment faire pour déterminer si un utilisateur peut accéder à une URL?

Donc, je lisais une autre question relative à la connexion de la boucle lorsque vous avez une connexion de l'utilisateur, le retour à une URL qui ils pourraient ne pas avoir accès à après la connexion (ie. un admin de la page, et l'utilisateur se connecte avec un compte normal).

La solution sous WebForms semble être d'utiliser le UrlAuthorizationModule.CheckUrlAccessForPrincipal méthode. Cependant cela ne fonctionne pas pour les Url va Méthodes d'Action sécurisé avec l'Autoriser Attribut. J'ai pensé que je pouvais travailler sur la méthode de l'URL pointant vers et de réfléchir sur elle pour résoudre mon problème mais je n'arrive pas à trouver comment je peux obtenir cette information de la table de routage.

Quiconque a déjà travaillé avec, ou une solution pour cela? Si je peux obtenir des informations sur l'itinéraire à partir d'une URL, je pense que je pourrais travailler le reste, mais si quelqu'un a une solution générique - ie. certains cachés méthode s'apparente à l'avant de parler d'un pour MVC, alors ce serait vraiment génial.

Je ne demande pas comment faire pour vérifier si l'Utilisateur a accès à une Action de Contrôleur de paire. J'ai d'abord et avant tout besoin de travailler sur la façon d'obtenir la paire Contrôleur/Action de la RouteTable basé sur l'URL. La raison de toute l'histoire de fond, est dans le cas où il existe un équivalent à UrlAuthorizationModule.CheckUrlAccessForPrincipal pour MVC.

OriginalL'auteur kastermester | 2010-02-04

  1. 1

    Quel est le problème que vous essayez de résoudre? Il semble que vous pouvez être dirigé vers le bas un chemin vers une solution complexe qui pourraient utiliser une solution simple à la place.

    Si un utilisateur n'a pas les permissions pour accéder à la page après la connexion, vous êtes désireux de non-connecté aux utilisateurs d'accéder à une page, tandis que les utilisateurs connectés aller à une autre page?

    Si c'est le cas, je pourrais être tenté de créer un autre contrôleur pour de tels scénarios et de les rediriger vers ce contrôleur n'importe où l'utilisateur n'a pas accès. Ou si vous utilisez votre propre Contrôleur de base je mettrais la fonctionnalité.

    Puis le contrôleur pourrait présenter la vue souhaitée. Par exemple, si un utilisateur tente d'accéder à une page, ils pourraient être redirigé vers une page d'erreur générique. Si l'utilisateur est connecté, ils pourraient être redirigé vers une non autorisé page.

    Ceci est très similaire à Robert de réponse.

    Voici un squelette de base d'un contrôleur de base.

    public BaseController: Controller
{

... //Some code

    public ActionResult DisplayErrorPage()
    {
        //Assumes you have a User object with a IsLoggedIn property
        if (User.IsLoggedIn())    
            return View("NotAuthorized");

        //Redirect user to login page
        return RedirectToAction("Logon", "Account");
    }

}

    Puis dans disons une AdminController (qui hérite de BaseController) action

    public ActionResult HighlyRestrictedAction()
{
    //Assumes there is a User object with a HasAccess property
    if (User.HasAccess("HighlyRestrictedAction") == false)
        return DisplayErrorPage();

    //At this point the user is logged in and has permissions
    ...
}
    Je vais l'accepter maintenant, comme cela semble être la meilleure solution au large de la chauve-souris pour le moment. Je ne suis pas certain que je vais effectivement utiliser ce bien. Je n'aime vraiment l'idée de ne pas avoir à subir ce genre de logique intégré dans mon contrôleurs - j'aimerais aussi éviter le supplément de redirection.

    OriginalL'auteur 37Stars

  2. 8

    jfar la réponse ci-dessus mis à jour pour MVC 4:

    public static class SecurityCheck
{
    public static bool ActionIsAuthorized(string actionName, string controllerName)
    {
        IControllerFactory factory = ControllerBuilder.Current.GetControllerFactory();
        ControllerBase controller = factory.CreateController(HttpContext.Current.Request.RequestContext, controllerName) as ControllerBase;
        var controllerContext = new ControllerContext(HttpContext.Current.Request.RequestContext, controller);
        var controllerDescriptor = new ReflectedControllerDescriptor(controller.GetType());
        var actionDescriptor = controllerDescriptor.FindAction(controllerContext, actionName);
        AuthorizationContext authContext = new AuthorizationContext(controllerContext, actionDescriptor);
        foreach (var authAttribute in actionDescriptor.GetFilterAttributes(true).Where(a => a is AuthorizeAttribute).Select(a => a as AuthorizeAttribute))
        {
            authAttribute.OnAuthorization(authContext);
            if (authContext.Result != null)
                return false;
        }
        return true;
    }
}
    Ou "foreach (var authAttribute dans actionDescriptor.GetFilterAttributes(true).OfType<AuthorizeAttribute>())" - avec mes excuses pour le pédantisme.

    OriginalL'auteur bjrichardson

  3. 5

    J'ai porté et piraté ce code à partir de la MvcSitemap:

    public static class SecurityTrimmingExtensions 
{
///<summary>
///Returns true if a specific controller action exists and
///the user has the ability to access it.
///</summary>
///<param name="htmlHelper"></param>
///<param name="actionName"></param>
///<param name="controllerName"></param>
///<returns></returns>
public static bool HasActionPermission( this HtmlHelper htmlHelper, string actionName, string controllerName )
{
//if the controller name is empty the ASP.NET convention is:
//"we are linking to a different controller
ControllerBase controllerToLinkTo = string.IsNullOrEmpty(controllerName) 
? htmlHelper.ViewContext.Controller
: GetControllerByName(htmlHelper, controllerName);
var controllerContext = new ControllerContext(htmlHelper.ViewContext.RequestContext, controllerToLinkTo);
var controllerDescriptor = new ReflectedControllerDescriptor(controllerToLinkTo.GetType());
var actionDescriptor = controllerDescriptor.FindAction(controllerContext, actionName);
return ActionIsAuthorized(controllerContext, actionDescriptor);
}
private static bool ActionIsAuthorized(ControllerContext controllerContext, ActionDescriptor actionDescriptor)
{
if (actionDescriptor == null)
return false; //action does not exist so say yes - should we authorise this?!
AuthorizationContext authContext = new AuthorizationContext(controllerContext);
//run each auth filter until on fails
//performance could be improved by some caching
foreach (IAuthorizationFilter authFilter in actionDescriptor.GetFilters().AuthorizationFilters)
{
authFilter.OnAuthorization(authContext);
if (authContext.Result != null)
return false;
}
return true;
}
private static ControllerBase GetControllerByName(HtmlHelper helper, string controllerName)
{
//Instantiate the controller and call Execute
IControllerFactory factory = ControllerBuilder.Current.GetControllerFactory();
IController controller = factory.CreateController(helper.ViewContext.RequestContext, controllerName);
if (controller == null)
{
throw new InvalidOperationException(
String.Format(
CultureInfo.CurrentUICulture,
"Controller factory {0} controller {1} returned null",
factory.GetType(),
controllerName));
}
return (ControllerBase)controller;
}

    On pourrait utiliser une mise en cache, mais pour mon cas c'était une optimisation prématurée.

    Mon problème est que j'ai une URL, pas un contrôleur et une action. Le code que vous avez écrit ici, c'est ça, je crois que je pourrais cuisiner moi-même - bien qu'merci pour le partage de ce que je vais probablement besoin de quelque chose comme cela. Mais la question est - comment puis-je obtenir Contrôleur + Action de l'extrait de la RouteTable à partir d'une URL? La raison pour laquelle j'ai écrit beaucoup de choses sur les autres trucs parce que j'étais se douter qu'il y aurait une méthode à appeler pour me dire tout cela à 1 go.
    Pour ce faire, vous devrez intercepter la demande avant la méthode de contrôleur en cours d'exécution. Pour des idées sur la façon de le faire, regarde ici: stackoverflow.com/questions/2122459/...
    Juste ce dont j'avais besoin. J'ai été à la recherche haute et basse pour celui-ci. Merci beaucoup!
    Ressemble ActionDescriptor.GetFilters() est Obsolète maintenant. Pas sûr de savoir comment ce code devrait fonctionner avec le Système.Web.Mvc.FilterProviders.
    remplacer avec FilterProviders.Providers.GetFilters(controllerContext, actionDescriptor).Select(f => f.Instance).OfType<IAuthorizationFilter>()

    OriginalL'auteur jfar

  4. 1

    Cela va probablement son controversé, mais j'ai de sécurité de contrôle au début de chaque méthode de contrôleur, à l'intérieur de la méthode:

    public class ProductController : Controller
{
IProductRepository _repository
public ActionResult Details(int id)
{
if(!_repository.UserHasAccess(id))
return View("NotAuthorized");
var item = _repository.GetProduct(id);
if (item == null)
return View("NotFound");
return View(item);
}
}

    La raison pour laquelle je ne pas utiliser le [Authorize] attributs de cette est que vous ne pouvez pas passer d'une carte d'identité ou toute autre information d'identification, à l'attribut au moment de l'exécution.

    Merci, mais je ne suis pas sûr de savoir comment cette approche pourrait m'aider à voir les commentaires que j'ai laissés pour jfar.

    OriginalL'auteur Robert Harvey

  5. 1

    Dans mon application, j'ai créé un filtre personnalisé dérivé de AuthorizeAttribute, de sorte que tout accès non autorisé il suffit d'aller à AccessDenied page. Pour les liens, j'ai remplacer le Html.ActionLink avec un helper Html.SecureLink. Dans ce helper extension, j'ai vérifier rôles de l'utilisateur l'accès à controller/action contre la base de données. Si il/elle dispose de l'autorisation, le lien de retour sinon renvoyer le lien de texte avec remarques spéciales (peut-être l'image/coloration/js)

    OriginalL'auteur Rocky Zairil

  6. 0

    Pourquoi ne pas attribuer vos méthodes de contrôleur avec l'exigence en matière de sécurité.

    J'ai écrit un attribut pour ce faire comme suit:

      public class RequiresRoleAttribute : ActionFilterAttribute
{
public string Role { get; set; }
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
if (string.IsNullOrEmpty(Role))
{
throw new InvalidOperationException("No role specified.");
}
if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
{
filterContext.HttpContext.Response.Redirect(loginUrl, true);
}
else
{
bool isAuthorised = filterContext.HttpContext.User.IsInRole(this.Role);
<< Complete Logic Here >>
}  
}      
}
    Mon problème est le suivant: Un utilisateur va sur ma page de connexion. Lors de l'entrée d'un "retour" de l'url est définie et réalisée dans la chaîne de requête. Supposons que pour une seconde qui en quelque sorte que l'URL pointe vers une partie admin du site. L'utilisateur se connecte avec un compte normal. Maintenant, en utilisant ce type de code (dont je suis), l'utilisateur sera redirigé vers la page de connexion - mais il est déjà connecté! Je pourrais simplement rediriger vers la page par défaut - mais alors, tout le monde aurait là - aussi non authentifié de personnes. Je voudrais bien vérifier avant de redirection après la connexion.

    OriginalL'auteur Remotec

  7. 0

    j'ai juste passé un certain temps à la mise en œuvre de @jfar de la solution (mise à jour pour les non-déconseillé GetFilters() de la version), et puis j'ai réalisé que je ne peux ignorer tout cela.

    dans mon cas (et je suppose que la plupart des cas) j'ai un custom AuthorizationAttribute à mettre en œuvre l'autorisation qui à son tour appelle mon service d'autorisation pour effectuer le niveau d'accès determinenation.

    Donc, à mon helper html pour générer des liens de menu, j'ai sauté à droite pour le service auth:

    @Html.MenuItem(@Url, "icon-whatever", "TargetController", "TargetAction")
public static MvcHtmlString MenuItem(this HtmlHelper htmlHelper, UrlHelper url,string iconCss, string targetController, string targetAction)
{
var auth = IoC.Resolve<IClientAuthorizationService>().Authorize(targetController, targetAction);
if (auth == AccessLevel.None)
return MvcHtmlString.Create("");

    *l'utilisateur est déterminé à l'intérieur de l'authentification des clients du service de 

    public string GetUser() {
return HttpContext.Current.User.Identity.Name;
}

    *peut également ajouter un peu de comportement pour un accès en lecture seule. c'est agréable parce que mon service de demenagement se charge de la mise en cache, donc je n'ai pas à vous soucier de la performance.

    OriginalL'auteur Sonic Soul