Aggiungo ASP.NET MVC a un'applicazione WebForms esistente. Per il momento, non mi interessa l'autenticazione/l'accesso, poiché questa parte è gestita dal codice esistente (autenticazione basata su form).Autorizzazione basata su autorizzazione in ASP.NET MVC3
Nell'applicazione WebForms esistente, disponiamo di un'autorizzazione basata su autorizzazione completamente personalizzata per pagina. Quindi ogni utente ha una serie di diritti, elencando le pagine a cui è autorizzato ad accedere.
Ora devo decidere come utilizzare lo stesso sistema di autorizzazione per limitare l'accesso a specifici controller e azioni MVC.
Come ho capito, per ASP.NET MVC esiste uno standard AuthorizeAttribute in cui è possibile specificare i ruoli. Ho trovato anche alcuni articoli che suggeriscono di autorizzazioni che specificano invece di ruoli - allora è possibile fare qualcosa di simile:
[CustomAuthorize(Roles = "View products, Edit products")]
Estendendo AuthorizeAttribute, posso anche definire come posso conservare e autorizzazioni di accesso.
Questa soluzione sarebbe accettabile per me (anche se il cambiamento della semantica dei ruoli odora un po ').
Ma prima di impegnarmi, vorrei vedere quali altre opzioni ci sono. Ed è lì che sono bloccato - Non ho trovato una panoramica completa dei diversi approcci sull'autorizzazione in ASP.NET MVC. Mi piacerebbe anche sapere come tutti i concetti di sicurezza (come l'autenticazione basata su form, i provider di appartenenza, l'attributo di autorizzazione, IPrincipal, ecc.) Sono correlati tra loro e come dovrebbero funzionare insieme.
È simile a ciò che è stato provato qui: http://stackoverflow.com/questions/10338734/custom-security-scenario-in-asp-net-mvc/ – antijon
@antijon per quanto ho capito, è simile a implementando un AuthorizeAttribute personalizzato. Ma mi piacerebbe scoprire più in dettaglio su altre opzioni e i loro pro e contro. –