我正在尝试做 MVC3 中应该很简单的事情。
我有一个使用表单身份验证通过第三方 SSO 对用户进行身份验证的应用程序。成功登录后,SSO 会发回我的应用程序上的特定控制器操作。然后我打电话FormsAuthentication.SetAuthCookie(user,false);
.
我正在尝试实施某种程度的授权。简而言之,一个用户可以存在多个不同的角色,例如Admin
and Developer
。某些控制器操作应该仅对某些角色可用。用户所属角色的详细信息是通过调用另一个外部 API 来获取的,该 API 返回一个简单的 JSON 响应来指示。
理论上,这应该像在设置 FormsAuthentication cookie 后执行类似的操作一样简单:
string[] rolelist = GetRoleListForUserFromAPI(User.Identity.Name);
HttpContext.User = new GenericPrincipal(User.Identity, rolelist);
但是,我不能在调用后直接调用它SetAuthCookie
, 因为HttpContext.User
目前没有任何意义。
我可以尝试在每个请求上设置此选项,但对我的应用程序的任何请求都意味着往返 API 调用。
到目前为止,我见过的最有前途的方法是创建自定义授权属性并覆盖OnAuthorization
做这样的事情:
public override void OnAuthorization(AuthorizationContext filterContext)
{
if (<some way of checking if roles have already been set for this user, or role cache has timed out>)
{
string[] rolelist = GetRoleListForUserFromAPI(filterContext.HttpContext.User.Identity.Name);
filterContext.HttpContext.User = new GenericPrincipal(filterContext.HttpContext.User.Identity,rolelist);
}
}
然后我可以使用[MyCustomAuthorization(Roles="Admin")]
在控制器操作之前使魔法发生。
但是,我不知道如何检测当前是否HttpContext.User
对象已设置其角色,或者是否已在某个时间之前设置并且需要另一个 API 行程。
最好的方法是什么?