MVC3安全提示

Question

我正在使用AspNetSqlMembershipProvider，并创建了我的页面以进行配置。现在我已经开始工作了，我想知道如何最好地利用整个站点的安全性。对于控制器，我可以使用Authorize，但是我下一步该怎么做呢？我的意思是，我只是用Roles.IsUserInRole把视图搞得乱七八糟，还需要在哪里进行检查。关于如何处理这个问题，有什么很好的例子站点吗？

Answer 1

不，你不应该用Roles.IsUserInRole打乱你的视图，这不是视图检查角色的责任，这是一个控制器/授权过滤器工作来填充你的视图模型，所以在视图中你只有：

@if (Model.ShouldDisplaySomeSection)
{
    ... // some section
} else {
   ... // not authorized
}

还要注意，如果您用标准的[Authorize]属性修饰一个控制器操作，而用户没有足够的角色，那么这个操作可能永远不会执行，视图也永远不会命中。

就我个人而言，我发现Developer Highway Code是一个非常有用的安全检查表，即使它并不局限于MVC。

Answer 2

我创建了一个从Authorize属性派生的解决方案，并在我自己的属性中引入了一个名为UserRoles的enum类型的param[]数组，因此我跳过了魔术字符串。

然后是杂乱的视图。好吧，我想你应该问问自己，当你准备在视图中编写IsUserInRole时，你是否真的应该在视图中编写它。我认为您应该尽量保持视图的整洁，并尽可能多地在ViewModel中进行排序。如果您不能做到这一点，可以考虑使用HTML Helper。