次のようなコード例を見たことがありますが、これは完全に合理的です。
[Authorize(Roles = "Admin, User")]
public class SomeController : Controller
しかし、次のような例もいくつか見ました。
[Authorize(Users = "Charles, Linus")]
public class SomeController : Controller
なぜ私はこれをやりたいのですか?ユーザー名を事前に知っているシステムを構築したいシナリオは想像できません。
これにはいくつかの正当な使用法があり、その一例を次に示します。管理者アカウントと認証されていないアカウントを持つだけの本当に単純なサイトを構築している場合は、次のようにすることができます。
[Authorize(Users = "Admin")]
これにより、1 人のユーザーのためだけにロールを作成する手間が省けます。root アカウント (uid 0) が特定のグループではなく特別な UNIX スタイルを考えてみてください。
もう 1 つの例は、何かをテストしている使い捨てアプリケーションです。認証ページなどをテストしたいだけなら、ロールを気にする必要はありません。
もう 1 つの理由: テスト。ロールベースのフレームワークを単体テストしたくなくても、認証のためだけに単体テストを作成できます。(すべての人が既定のメンバーシップ プロバイダーを使用しているわけではなく、一部のメンバーシップ プロバイダーは非常に洗練されていることに注意してください。) テスト ユーザー用にハードコードされた認証を作成することで、ロール フレームワークをバイパスできます。
ユーザーのハードコーディングは悪臭です。そのようなもののために役割が存在します。
編集: .net 1.0 が web.config 全体で許可/拒否権限を使用してヒットしたときのように、それらはソースの例として使用される (または少なくとも使用する必要がある) と信じています。ブログ、チュートリアル、およびサンプルでは、優れたプラクティスのみを使用する必要があります。
私が考えることができる唯一の「正当な」理由は、バックドアを構築することです-悪意のある、または「将来のメンテナンス」の目的のいずれかです。後者は、セキュリティ リスクをもたらすため、Bad Juju です。前者はもちろんBad Jujuでもあります:)
あなたがそれをすることを検討するかもしれないいくつかの理由:
いずれにせよ、それは悪い設計に帰結し、あなたはそれをしたくないでしょう. しかし、インターフェイスが存在するのは、それが最も単純なレベルの制御だからです。
私はデビッド・フェファーに同意します。
さらに、アプリ内で非常に具体的なアクセス許可とジョブを持つ一連のユーザーを定義できると思います-おそらくテスト目的、おそらくパフォーマンス追跡...要件がドアをノックしたときにそれがわかります。)-.
アプリケーションで使用される有効なユーザーのセットに含まれないはずの単なるグループです。:) -筋金入りの方法-