有人能解释一下这两个属性的区别和使用场景吗?我很困惑因为它们的行为很相似。
我知道 [Authorize] 钩入了 ASP.NET 应用程序生命周期,并在请求到达 Controller/Action 之前运行。PrincipalPermission 呢?
[PrincipalPermission(SecurityAction.Demand, Role="Admin")]
和
[Authorize(Roles="Admin")]
有人能解释一下这两个属性的区别和使用场景吗?我很困惑因为它们的行为很相似。
我知道 [Authorize] 钩入了 ASP.NET 应用程序生命周期,并在请求到达 Controller/Action 之前运行。PrincipalPermission 呢?
[PrincipalPermission(SecurityAction.Demand, Role="Admin")]
和
[Authorize(Roles="Admin")]
Authorize
属性用于指定控制器或操作方法的访问限制。换句话说,您可以授予或拒绝用户/角色访问站点内的单个页面或URL的权限。
当您在ASP.NET应用程序中对用户进行身份验证时,经过身份验证的用户标识将自动流传到该用户在服务器上的请求中。
您可以通过 PrincipalPermission
属性在业务类中使用此标识信息。借助 PrincipalPermission
,您可以授权用户的能力。例如,您可以防止用户实例化类或访问业务类上的方法。
这使得向业务和数据层添加干净的安全授权规则变得容易。
using System;
using System.Security.Permissions;
[PrincipalPermission(SecurityAction.Demand, Authenticated = true)]
public class EmployeeManager
{
[PrincipalPermission(SecurityAction.Demand, Role = "Manager")]
public Employee LookupEmployee(int employeeID)
{
// todo
}
[PrincipalPermission(SecurityAction.Demand, Role = "HR")]
public void AddEmployee(Employee e)
{
// todo
}
}
例如,通过使用PrincipalPermission
属性,
EmployeeManager
类只能由经过授权的用户实例化。LookupEmployee
方法只能被具有Manager
角色的用户访问。参考资料