Asp.Net基于MVC动作的自定义授权

Question

我有一个用asp.net mvc写流利nhibernate的web应用程序。

数据层次：邮政 - >分类 - > 公司

用户角色：用户，管理员

我试图找到一个架构来开发定制的授权。用户可以是多个公司的成员。另外，用户可以是公司的管理员，而他也可以是另一家公司的成员。

另外，我们希望根据控制器，操作或操作ID来开发自定义授权。例如，用户可以只是一个类别的管理员。即，在我们未来的系统中，将有用户，用户和组属于公司的用户组。虽然自定义授权将基于url（contoller/action/id）应用于它们。

任何推荐，有用的链接等？

Answer 1

实际上这有点棘手 - 您可能想重新考虑自定义授权并考虑在Application_AuthenticateRequest中填充角色，然后使用[Authorize]属性来执行实际检查，如果用户属于这些角色。你直接将它应用到动作方法，并避免自定义混乱，但实现基本相同的结果。我们有一个类似的讨论

尚未解决的： Questions about a Custom Security setup for MVC3 using overridden AuthorizeAttribute, thread safety, ChildActions and caching