ASP.Net Web Forms实体级访问控制

Question

我有一个ASP.Net Web Forms应用程序，我在其中使用基于表单的身份验证和成员资格和角色提供程序，这对于验证和控制对目录和/或文件的访问很好。现在，我发现自己需要控制对单个实体实例的读、写和删除访问，例如，能够更新或删除客户的实例。我一直在尝试想一个好的方法来实现这一点，但我真的不知道从哪里开始。我读到过关于the Authorize attribute in ASP.Net MVC的文章，我想有一些类似的东西会很好--装饰方法，就像在ASP.Net MVC中控制动作一样。不过，我不知道在Web Forms世界中有什么开箱即用的方法来实现这一点，也不知道有什么框架或其他工具可以帮助我朝这个方向前进。任何建议，包括现有的解决方案和/或如何设计我自己的实现，都将非常感谢。

Answer 1

最简单的方法是要求用户是PrincipalPermissionAttribute所涉及的方法所需的角色的成员。

[PrincipalPermission(SecurityAction.Demand, Role="Supervisor")]
[PrincipalPermission(SecurityAction.Demand, Role="Owner")]
public void DeleteSomething() {...}

请注意，这意味着主管或所有者可以DeleteSomething()。

Answer 2

我不认为"PrincipalPermission“是一个很好的方法。如果我需要允许另一个角色使用DeleteSomthing()，该怎么办？同样，如果我需要删除DeleteSomthing()的现有角色？唯一的方法是在代码级更改属性。这对于大型项目来说是完全不可行的。

我也在寻找一个很好的解决方案。