我想使用AuthorizeAttribute控制哪些用户可以访问我的操作。我只是想澄清一下,我的逻辑是正确的。ASP.Net MVC成员资格
- 创建我自己的实现的IPrincipal
- 我发布用户的凭据安全控制器的登录操作。
- 我验证了UserService类的凭据和分配的IPrincipal从我UserService类返回到HttpContext.User中
- 我WebAuthorizeAttribute,它继承AuthorizeAttribute,检查当前HttpContext.User.Identity.IsAuthenticated和HttpContext.User.IsInRole以确定用户是否有权访问该操作。
事情是否正常?我知道我可以继承MembershipProvider,但我并不需要所有的功能,实际上只是能够使用两种不同的角色登录。
我已经阅读了很多问题和外部博客,但没有人真的把这整个部分放到上下文中。你可以解释一下MyBusinessLayerSecurityClass.CreatePrincipal(id,id.Name)部分的 – scottm 2009-12-01 23:56:13
。如果HttpContext.Current.User属性为null,我不明白如何获取FormsIdentity。 – scottm 2009-12-02 02:12:26