1. ホーム
  2. asp.net-mvc-4

[解決済み] ASP.NET MVC 4 Custom Authorize Attribute with Permission Codes (ロールを使用しない)

2022-07-27 20:44:38

質問

MVC 4 アプリケーションで、ユーザーの権限レベル (ロールはなく、ユーザーに割り当てられた CRUD 操作レベルの権限レベルのみ) に基づいて、ビューへのアクセスを制御する必要があります。

例として、以下のAuthorizeUserは私のカスタム属性であり、私はこのようにそれを使用する必要があります。

[AuthorizeUser(AccessLevels="Read Invoice, Update Invoice")]
public ActionResult UpdateInvoice(int invoiceId)
{
   // some code...
   return View();
}


[AuthorizeUser(AccessLevels="Create Invoice")]
public ActionResult CreateNewInvoice()
{
  // some code...
  return View();
}


[AuthorizeUser(AccessLevels="Delete Invoice")]
public ActionResult DeleteInvoice(int invoiceId)
{
  // some code...
  return View();
}

このようにすることは可能でしょうか?

どのように解決するのですか?

以下のようにカスタム属性でできました。

[AuthorizeUser(AccessLevel = "Create")]
public ActionResult CreateNewInvoice()
{
    //...
    return View();
}

Custom Attributeクラスを以下のように設定します。

public class AuthorizeUserAttribute : AuthorizeAttribute
{
    // Custom property
    public string AccessLevel { get; set; }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        var isAuthorized = base.AuthorizeCore(httpContext);
        if (!isAuthorized)
        {                
            return false;
        }

        string privilegeLevels = string.Join("", GetUserRights(httpContext.User.Identity.Name.ToString())); // Call another method to get rights of the user from DB

        return privilegeLevels.Contains(this.AccessLevel);           
    }
}

権限のないユーザーをリダイレクトするために、カスタムの AuthorisationAttribute をオーバーライドすることで HandleUnauthorizedRequest メソッドをオーバーライドします。

protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
    filterContext.Result = new RedirectToRouteResult(
                new RouteValueDictionary(
                    new
                        { 
                            controller = "Error", 
                            action = "Unauthorised" 
                        })
                );
}