1

私の研究では、カスタム AuthorizeAttribute を実装して、ユーザーがロール (管理者、マネージャーなど) の機能でアプリケーションの一部にアクセスできるようにするかどうかを許可する必要があります。独自の SQL DB を使用しています。

ユーザーがログインしている場合でも LoginView にリダイレクトされる理由を理解していただけますか? 私はウェブでたくさん検索しましたが、解決策は見つかりませんでした。

Web.config:

<authentication mode="Forms">
  <forms loginUrl="~/Authentication/Login" timeout="2880" />
</authentication>

認証コントローラー:

public class AuthenticationController : Controller
{
    [AllowAnonymous]
    public ActionResult Login()
    {
        return View();
    }

    [HttpPost]
    [AllowAnonymous]
    public ActionResult Login(User user, string returnUrl)
    {
        if (ModelState.IsValid)
        {
            if (IsValid(user.Email, user.Password))
            {
                FormsAuthentication.SetAuthCookie(user.Email, true);
                if (Url.IsLocalUrl(returnUrl))
                {
                    return Redirect(returnUrl);
                }
                else
                {
                    return RedirectToAction("Index", "Home");
                }
            }
            else
            {
                ModelState.AddModelError("", "Incorrect Email or Password.");
                return View(user);
            }
        }
        return View(user);
    }

    public ActionResult Logout()
    {
        FormsAuthentication.SignOut();

        return RedirectToAction("Index", "Home");
    }

    private bool IsValid(string email, string password)
    {
        var crypto = new SimpleCrypto.PBKDF2();

        bool isValid = false;

        using (var dBContext = new DBContext())
        {
            var user = dBContext.Users.FirstOrDefault(u => u.Email == email);

            if (user!=null)
            {
                if (user.Password == crypto.Compute(password, user.saltedPassword))
                {
                    isValid = true;
                }
            }
        }
        return isValid;
    }
 }

ホームコントローラー:

public class HomeController : Controller
{
    [CustomAuthorize(Roles = "Admin,Manager,...")]
    public ActionResult Index()
    {
        return View();
    }
}

フィルター:

public class CustomAuthorizeAttribute : AuthorizeAttribute
{
    public CustomAuthorizeAttribute() { }
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {

        if (!httpContext.Request.IsAuthenticated)
            return false;

        DBContext dBContext = new DBContext();

        var roleList = from r in dBContext.Roles
            join rl in dBContext.RoleLists on r.RoleId equals rl.RoleId
            join s in dBContext.Subscriptions on rl.SubscriptionId equals s.SubscriptionId
            join u in dBContext.Users on s.UserId equals u.UserId
            where u.Email == httpContext.User.Identity.Name
            select r.RoleName;

        foreach (string definedRole in this.Roles.Split(','))
        {
            foreach (string role in roleList)
            {
                if (definedRole.Equals(role))
                {
                    return true;
                }
            }
        }
        return false;
    }

フィルター構成:

public class FilterConfig
{
    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
    {
        filters.Add(new CustomAuthorizeAttribute());
        filters.Add(new HandleErrorAttribute());
    }
}

編集して詳細情報を追加:

AuthorizeCore() の戻り値として true を使用する場合: foreach の最初の反復で this.Roles には定義された役割が含まれていませんが、2 回目の反復では適切に...システムは定義された役割を取得せずに要求されたビューを表示します考慮。

AuthorizeCore() の戻り値 false として使用する場合: 最初の foreach の反復は 1 回だけ発生し、this.Roles には定義されたロールが含まれていません。2 番目の foreach はユーザーのロールを " " ... と比較します。システムは LoginView を表示します。

4

1 に答える 1

0

この行にコメントすることで問題を修正しました:

public class FilterConfig
{
    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
    {
        //filters.Add(new CustomAuthorizeAttribute());
        filters.Add(new HandleErrorAttribute());
    }
}

ログインしたユーザーの役割は、定義された役割とよく比較されます。

[CustomAuthorize(Roles = "管理者、マネージャー、...")]

ユーザーが権限を持っていない場合を除き、アプリケーションは要求されたビューを表示します。

于 2014-08-15T17:50:45.197 に答える