PrincipalPermission还是授权属性？

Question

有人能向我解释这两种属性的区别和用例吗？我很困惑，因为他们的行为相似。

我知道授权会连接到ASP.NET应用程序生命周期，并在请求到达Controller/Action之前运行。PrincipalPermission怎么样？

[PrincipalPermission(SecurityAction.Demand, Role="Admin")]

和

[Authorize(Roles="Admin")]

Answer 1

Authorize属性用于指定对控制器或操作方法的访问限制。换句话说，您可以授予或拒绝用户/角色访问站点内各个页面或URL的权限。

当您在ASP.NET应用程序中对用户进行身份验证时，经过身份验证的用户身份将自动在服务器上的该用户请求中流动。

您可以通过PrincipalPermission属性在业务类上使用此标识信息。使用PrincipalPermission，您可以授权用户的功能。例如，可以防止用户在业务类上实例化类或访问方法。

这使得向您的业务和数据层添加干净的安全授权规则变得非常容易。

using System;
using System.Security.Permissions;

[PrincipalPermission(SecurityAction.Demand, Authenticated = true)]
public class EmployeeManager
{
    [PrincipalPermission(SecurityAction.Demand, Role = "Manager")]
    public Employee LookupEmployee(int employeeID)
    {
       // todo
    }

    [PrincipalPermission(SecurityAction.Demand, Role = "HR")]
    public void AddEmployee(Employee e)
    {
       // todo
    }
}

例如，使用PrincipalPermission属性，

• EmployeeManager类只能由授权用户实例化。
• LookupEmployee方法只能由具有Manager角色的用户访问。

参考资料

向业务层和数据层添加授权规则

ASP.NET 2.0安全最佳实践