我有一个 ASP.NET 2.0 [还没有 ajax] 网站,将以编译的形式部署在多个客户站点上。通常该站点仅是 Intranet。一些客户信任他们的所有人,并且不关心限制对网站和/或页面功能的访问,另一些客户不信任任何人,只希望某些人和/或组能够查看某些页面、单击某些按钮等等人。
我可以做一些自行开发的解决方案,可能会从数据库表中驱动访问权限,但在我走上这条路之前,我想我会问:对于这种情况,什么是好的解决方案?最好是可以在 web.config 文件和/或数据库中完全控制的网站,因为重建网站是不可能的(对于客户来说,我不想一遍又一遍地为他们做这件事)。 Active Directory 集成将是一个额外的好处,但不是必需的(除非那更容易)。
作为起点,我认为网站中的每个页面/功能点都会被赋予一个身份并与一个权限组相关联......
编辑:web.config 授权部分允许/拒绝按角色和用户访问是好的,但这只是问题的一半 - 另一半是控制对每个页面上的各个方法(按钮等)的访问。例如,某些用户可以查看内容,而其他用户则可以编辑、创建、删除或禁用/启用它们。所有这些按钮/链接/操作都在视图页面上......
[理想情况下,我会让禁用的按钮不可见,但这在这里并不重要]
编辑:到目前为止有一些好的建议,但还没有完整的解决方案 - 仍然倾向于数据库驱动的解决方案......
- 安全权限需求属性在点击按钮时会抛出异常,这不是一件友好的事情;我宁愿隐藏不允许用户使用的按钮
- LoginView 控件也很有趣,但需要多次复制大部分页面内容(每个角色一次),并且可能无法处理用户处于多个角色的情况 - 我不能假设这些角色是分层的,因为它们由客户定义
编辑:平台是Win2K/XP、Sql Server 2005、ASP.NET 2.0,不使用AJAX
我认为您需要在这里做的是在业务对象或控制器中实现一组权限查询方法。示例:CanRead()、CanEdit()、CanDelete()
当页面呈现时,它需要查询业务对象并确定用户授权的功能,并根据此信息启用或禁用功能。业务对象又可以使用角色或其他数据库查询来确定活动用户的权限。
我想不出一种方法来以声明方式集中定义这些权限。它们需要被分发到功能的实现中。但是,如果您想改进设计,可以使用依赖项注入将授权者插入到业务对象中,从而保持实现分离。
Rocky Lhotka 的书中有一些使用此模型的代码。新版本还没上线Google yet.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
