Me interesa saber cuáles son las mejores prácticas para usar la seguridad basada en roles en MVC:
cómo proteger sus acciones y hacerlas accesibles solo por roles específicos?Seguridad basada en roles asp.net mvc
Si configura su proveedor de membresía ASP.Net correctamente, puede usar fácilmente el atributo [Authorize] para especificar el acceso para diferentes roles o usuarios.
Exigir a los usuarios acceder, usar:
[Authorize]
public class SomeController : Controller
// Or
[Authorize]
public ActionResult SomeAction()
para restringir el acceso a funciones específicas, utilice:
[Authorize(Roles = "Admin, User")]
public class SomeController : Controller
// Or
[Authorize(Roles = "Admin, User")]
public ActionResult SomeAction()
y restringir el acceso a usuarios específicos, uso:
[Authorize(Users = "Charles, Linus")]
public class SomeController : Controller
// Or
[Authorize(Users = "Charles, Linus")]
public ActionResult SomeAction()
¿Qué sucede si desea que sus roles/permisos sean dinámicos en la base de datos? –
@JoePhilllips Crea un atributo personalizado y en el controlador de autorizar. – nagytech
Me gusta la decoración del método Autorizar. Aquí hay una pregunta de seguimiento: si tenemos un grupo de directorio activo creado para hacer frente a las excepciones a la regla ... ej. un grupo llamado "MyApp_AccessDenied" ... ¿hay alguna manera de usar eso ... es decir, una versión negativa de la decoración de Authorize ... como una decoración de DenyAuthorize? – Bkwdesign