我在获取Authorize属性以处理角色方面遇到了麻烦。这就是我装饰我的控制器的方式:
[Authorize(Roles = "admin")]
public ActionResult Index()
{
...
}
这就是我记录用户的方式:
string roles = "admin";
FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
1,
username,
DateTime.Now,
DateTime.Now.AddMinutes(30),
false,
roles
);
var cookie = new HttpCookie(FormsAuthentication.FormsCookieName, FormsAuthentication.Encrypt(authTicket));
HttpContext.Current.Response.Cookies.Add(cookie);
但我的用户仍被拒绝访问。我哪里错了?
答案 0 :(得分:8)
我偶然发现了一个类似的代码示例:MVC - How to store/assign roles of authenticated users的最高投票答案。
AuthorizeAttribute调用IsInRole中存储的IPrincipal实例上的HttpContext.User方法。默认情况下,IPrincipal没有角色,在这种情况下,IsInRole将始终返回false。这就是拒绝访问您的操作的原因。
由于您已将用户的角色存储到FormsAuthenticationTicket's UserData property中,因此您必须自己从auth cookie中提取角色并进入IPrincipal实例。 MVC - How to store/assign roles of authenticated users的最高投票答案提供了可以直接添加到global.asax.cs文件中的代码来执行此操作。我在下面重复了一遍:
protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
HttpCookie authCookie = Context.Request.Cookies[FormsAuthentication.FormsCookieName];
if (authCookie != null)
{
FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);
string[] roles = authTicket.UserData.Split(',');
GenericPrincipal userPrincipal = new GenericPrincipal(new GenericIdentity(authTicket.Name), roles);
Context.User = userPrincipal;
}
}