Comment obtenir des annotations personnalisées attributs pour une action de contrôleur dans ASP.NET MVC 4?

Je travaille avec une autorisation en fonction du système d'autorisation pour mon application dans ASP.NET MVC.
Pour cela, j'ai créé une coutume autorisation attribut

public class MyAuthorizationAttribute : AuthorizeAttribute
{
    string Roles {get; set;}
    string Permission {get; set;}
}

afin que je puisse autoriser un utilisateur à la fois de rôle ou d'une autorisation spécifique de la clé avec l'annotation pour les actions de

public class UserController : Controller
{
    [MyAuthorization(Roles="ADMIN", Permissions="USER_ADD")]
    public ActionResult Add()

    [MyAuthorization(Roles="ADMIN", Permissions="USER_EDIT")]
    public ActionResult Edit()

    [MyAuthorization(Roles="ADMIN", Permissions="USER_DELETE")]
    public ActionResult Delete()
}

puis-je remplacer AuthorizeCore() la méthode en MyAuthorizationAttribute classe avec la même logique(pseudo-code)

protected override bool AuthorizeCore(HttpContextBase httpContext)
{
    if(user not authenticated)
        return false;

    if(user has any role of Roles)
        return true;

    if(user has any permission of Permissions)
        return true;

    return false;
}

Jusqu'à ce fonctionne bien.

Maintenant j'ai besoin d'une sorte de méthodes d'extension, de sorte que je peux générer dynamiquement url de l'action en vue de pages qui sera de retour l'url de l'action fondée sur MyAuthorization attribut logique d'autorisation pour l'action. Comme

@Url.MyAuthorizedAction("Add", "User")

sera de retour l'url "Utilisateur/Ajouter" si l'utilisateur a au rôle d'administrateur ou dispose de l'autorisation de "USER_ADD" (tel que défini dans les attributs de l'action) ou renvoie la chaîne vide sinon.

Mais après une recherche sur internet pour quelques jours, je ne pouvais pas le comprendre. 🙁

Jusqu'à présent j'ai trouvé que ce "De sécurité de" lien d'action? qui fonctionne par l'exécution de tous les filtres d'actions pour l'action jusqu'à ce qu'il échoue.

C'est sympa, mais je pense que ce serait une surcharge pour l'exécution de tous les filtres d'actions pour chaque fois que j'appelle le MyAuthorizedAction() la méthode. En outre, Il ne fonctionne pas avec ma version (MVC 4 et .NET 4.5)

Ce que j'ai besoin de vérifier authentifié rôle de l'utilisateur, les autorisations (sera stocké dans la session) contre autorisé d'autorisation et de rôle pour l'action. Comme quelque chose que la suite (pseudo-code)

MyAuthorizedAction(string actionName, string controllerName)
{
    ActionObject action = SomeUnknownClass.getAction(actionName, controllerName)
    MyAuthorizationAttribute attr = action.returnsAnnationAttributes()

    if(user roles contains any in attr.Roles 
       or 
       user permissions contains any attr.Permissions)
    {
        return url to action
    }
    return empty string
}

Je suis à la recherche de la solution de l'obtention de l'action des attributs de la valeur pour un temps assez long, ne pouvait pas trouver assez de bonnes ressources à tous. Suis-je manquer les bons mots-clés? :/

Si quelqu'un peut me donner la solution ce serait vraiment d'une grande aide.
Merci d'avance pour les solutions

Vous souhaitez créer vos liens sur la base des autorisations d'utilisateurs plutôt que de valider les autorisations de l'utilisateur quand ils ont frappé l'url?
tant pis, j'ai raté AuthorizeCore lisez tout d'abord...

OriginalL'auteur Burhan Uddin | 2012-11-02

  1. 13

    Alors que je suis d'accord que la génération d'url en fonction des autorisations est probablement pas les meilleures pratiques, si vous voulez continuer, vous pouvez trouver les actes et de leurs attributs à l'aide de ces:

    Récupérer "l'Action" méthodes:
    Cela permet de récupérer une collection de méthode d'infos car il est possible d'avoir plusieurs classes de Contrôleur avec le même nom et plusieurs méthodes de même nom en particulier avec l'utilisation des zones. Si vous avez à vous soucier de cela, je vais laisser la désambiguïsation jusqu'à vous.

    public static IEnumerable<MethodInfo> GetActions(string controller, string action)
{
    return Assembly.GetExecutingAssembly().GetTypes()
           .Where(t =>(t.Name == controller && typeof(Controller).IsAssignableFrom(t)))
           .SelectMany(
                type =>
                type.GetMethods(BindingFlags.Public | BindingFlags.Instance)
                    .Where(a => a.Name == action && a.ReturnType == typeof(ActionResult))
             );

}

    Récupérer les Autorisations de MyAuthorizationAttributes: 

    public static MyAuthorizations GetMyAuthorizations(IEnumerable<MethodInfo> actions)
{
    var myAuthorization = new MyAuthorizations();
    foreach (var methodInfo in actions)
    {
        var authorizationAttributes =  methodInfo
                .GetCustomAttributes(typeof (MyAuthorizationAttribute), false)
                .Cast<MyAuthorizationAttribute>();
        foreach (var myAuthorizationAttribute in authorizationAttributes)
        {
            myAuthorization.Roles.Add(MyAuthorizationAttribute.Role);
            myAuthorization.Permissions.Add(MyAuthorizationAttribute.Permission);
        }
    }
    return myAuthorization;
}
public class MyAuthorizations
{
    public MyAuthorizations()
    {
        Roles = new List<string>();
        Permissions = new List<string>();
    }
    public List<string> Roles { get; set; }
    public List<string> Permissions { get; set; }
}

    Enfin la AuthorizedAction extension: avertissement:Si vous n'avez plus d'un match pour une paire contrôleur/action ce que va donner la "autorisés" url si l'utilisateur est autorisé pour l'un d'eux...

    public static string AuthorizedAction(this UrlHelper url, string controller, string action)
{
    var actions = GetActions(controller, action);
    var authorized = GetMyAuthorizations(actions);
    if(user.Roles.Any(userrole => authorized.Roles.Any(role => role == userrole)) ||
       user.Permissions.Any(userPermission => authorized.Permissions.Any(permission => permission == userPermission)))
    {
        return url.Action(controller,action)
    }
    return string.empty;
}

    Une Remarque sur la Génération d'Url Basé sur les Autorisations:

    J'ai de l'état c'est probablement pas de meilleure pratique en raison de beaucoup de petites choses. Chacun peut avoir son propre niveau de pertinence en fonction de votre situation.

    • Donne l'impression de chercher à obtenir la sécurité par l'obscurité. Si je ne les montrent pas l'url, ils ne savent pas qu'il est là.
    • Si vous êtes déjà de la vérification des autorisations à d'autres façons de contrôler le rendu de la page (comme il semble que vous faites en fonction de vos commentaires d'ailleurs) cette explicitement ne pas écrire l'url est inutile. Mieux à même pas appeler l'Url.Méthode d'Action.
    • Si vous n'êtes pas déjà le contrôle de l'affichage de la page selon les autorisations de l'utilisateur, il suffit de retourner une chaîne vide pour les url laissera beaucoup de casse ou apparemment cassé contenu sur vos pages. Hey ce bouton ne fait rien quand j'appuie sur elle!
    • Il peut faire les tests et le débogage plus compliqué: Est l'url ne s'affiche pas parce que les autorisations ne sont pas de droite, ou il y a un autre bug?
    • Le comportement de la AuthorizedAction méthode semble incohérent. Renvoie une url, parfois, et une chaîne vide à d'autres moments.

    De contrôler le Rendu de la Page Via l'Action attributs d'Autorisation:
    Modifier la AuthorizedAction méthode à un boolean, puis utiliser le résultat pour contrôler le rendu de la page. 

    public static bool AuthorizedAction(this HtmlHelper helper, string controller, string action)
{
    var actions = GetActions(controller, action);
    var authorized = GetMyAuthorizations(actions);
    return user.Roles.Any(userrole => authorized.Roles.Any(role => role == userrole)) ||
       user.Permissions.Any(userPermission => authorized.Permissions.Any(permission => permission == userPermission))
}

    Ensuite l'utiliser dans vos pages razor. 

    @if(Html.AuthorizedAction("User","Add")){
   <div id='add-user-section'>
        If you see this, you have permission to add a user.
        <form id='add-user-form' submit='@Url.Action("User","Add")'>
             etc
        </form>
   </div>
}
else {
  <some other content/>

}
    Je vous remercie beaucoup. Vous avez expliqué les articles que j'ai était totalement absent sur l'obtention d'une action et de ses attributs d'annotation. Il serait grand si vous aussi vous expliquer pourquoi la génération d'url basé sur la permission n'est pas des meilleures pratiques et à ce que des procédures de rechange puis-je suivre
    Comme je l'ai commenté dans une autre réponse, "Mon point est que si un MyAuthorization annotation Autorisation de changement de la valeur de l'action, je dois changer tout cela sur l'interface utilisateur où j'utilise l'url" c'est ce Que je ne veux pas faire.
    Quel est exactement votre but avec le vide des url?
    Je suis en train d'essayer de cacher l'url à l'action en vue de pages à partir de ces utilisateurs qui n'ont pas l'autorisation d'accéder à cette action. Je pourrais utiliser si le reste de rasoir vue, mais je vous demande de modifier ces conditions si l'autorisation d'une action modifications
    Comme le besoin de changer de lame de rasoir le long avec les autorisations: Voir la dernière section de cette Réponse:Contrôler le Rendu de la Page Via l'Action attributs d'Autorisation:Html.AuthorizedAction prend le contrôleur et l'Action même Url.L'Action n'. Elle renvoie true si autorisé false dans le cas contraire. Comme les autorisations sur l'action de changement, il ne nécessite pas de mises à jour pour le rasoir pour les garder en ligne.

    OriginalL'auteur Mr.Mindor

  2. 2

    Je ne pense pas que vous devriez vérifier l'action des annotations à chaque fois que vous voulez créer une url avec l'Url.Action(). Si l'action est assurée avec la coutume d'autorisation de filtre, il ne sera pas exécutée pour l'utilisateur non-privilégié, quel est donc le point à cacher l'URL de cette action?
    Au lieu de cela, vous pourriez mettre en œuvre la méthode d'extension sur HtmlHelper pour vérifier si l'utilisateur courant a la premission, comme:

    public static bool HasPermission(this HtmlHelper helper, params Permission[] perms)
{
    if (current user session has any permission from perms collection)
    {
        return true;
    }
    else
    {
        return false;
    }
}

    Vous pouvez vous servir de l'aide à l'intérieur de la vue de masquer les boutons et les liens qui ne sont pas accessibles pour l'utilisateur actuel, comme:

    @if (Html.HasPermission(Permission.CreateItem))
{
    <a href="@Url.Action("Items", "Create")">Create item</a>
}

    Bien sûr, cette dissimulation de liens spécifiques est uniquement pour les fins de l'INTERFACE utilisateur - le réel, le contrôle d'accès est effectué par la coutume de l'autorisation de l'attribut.

    merci, c'est exactement ce que je fais maintenant. J'essayais juste de trouver si il existe un moyen pour obtenir l'autorisation de la clé de façon dynamique à partir des url de l'action au lieu de passer à chaque fois à une extension de la méthode en paramètre
    Peut-être que le traitement de la paire (ControllerName,ActionName) pour une autorisation de définition ferait l'affaire. Chaque contrôleur+action serait de définir certains d'autorisation précis, description. Inconvénient c'est qu'il y aura beaucoup d'autorisations, mais vous pouvez les regrouper dans des rôles. Comme un avantage - vous n'aurez pas besoin d'annoter des actions avec les autorisations, car ils seraient auto-descriptif.

    OriginalL'auteur PanJanek

  3. 0

    Ma seule recommandation serait d'écrire une des extensions de méthodes sur IPrincipal à la place qui ressemblerait 

    public static bool HasRolesAndPermissions(this IPrincipal instance,
    string roles,
    string permissions,)
{
  if(user not authenticated)
    return false;

  if(user has any role of Roles)
    return true;

  if(user has any permission of Permissions)
    return true;

return false;
}

    Puis votre code dans la vue/partiels est un peu plus lisible en termes de ce qu'est réellement en train de faire (ne pas faire n'importe quoi avec html, mais la validation d'un utilisateur), puis le code de la vue/partiels ressemble 

    @if (User.HasRolesAndPermissions(roles, permissions)) 
{ 
   @Html.ActionLink(..);
}

    Chaque MVC Page a la propriété WebViewPage.L'utilisateur pour l'utilisateur actuel.

    Le problème avec votre dessein solution (et le lien à la sécurité conscients lien), c'est que la création du lien, et de l'Autoriser sur les contrôleurs pourraient être différents (et le mélange des responsabilités dans ce type de mode à MON avis est une mauvaise pratique). Par extension IPrincipal une nouvelle autorisation serait:

    protected override bool AuthorizeCore(HttpContextBase httpContext)
{
  return user.HasRolesAndPermissions(roles, permissions)
}

    Maintenant Autoriser à la fois vos attributs et de points de Vue utiliser les mêmes rôles et les autorisations données logique.

    merci, je suis en train de faire des choses similaires pour l'instant, mon point est que si un MyAuthorization annotation Autorisation de changement de la valeur, je dois changer tout cela sur l'interface utilisateur où j'utilise l'url. 🙁

    OriginalL'auteur Erik Philips