如何從自定義SQL「AdminUsers」表中保護管理員的MVC4區域

Question

我已經看到了許多關於使用標記，角色提供者和membershipprovider保護MVC應用程序的示例，但沒有一個適合我的場景。這是我的設置..

• VS2012使用EntityFramework鏈接到SQL 2008 R2 4.3管理數據。
• 項目在IIS中進行基本身份驗證，因此所有員工，擁有empID的教師和學生都可以在內部或外部進行身份驗證。其中一些人是管理員，所以他們在管理區進行管理。
• 我在我的項目中創建了一個「Admin」區域，該區域當前沒有安全性，因此任何人都可以鍵入domain/admin並將其重定向到該區域。此區域包含管理員（CRUD），約會（CRUD），設置（U），工具和報告功能。 adminUser和約會部分有他們自己的表，並且CRUD按預期工作。

下面是我在問什麼.. 我如何驗證對「管理員」基本身份驗證當前用戶從我AdminUsers SQL表，然後只允許這些人進入我的管理區域？

感謝您的時間， 克里斯

Answer 1

如果你不打算依靠會員或角色你總是可以編寫檢查對數據庫用戶AuthorizeAttribute的自定義實現。

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)] 
public class AdminOnlyAttribute : AuthorizeAttribute 
{ 
    public AdminOnlyAttribute() 
    { 
    } 

    public override void OnAuthorization(AuthorizationContext filterContext) 
    { 
     if (!User not in Admin table) 
     { 
      throw new UnauthorizedAccessException(); 
     } 
     base.OnAuthorization(filterContext); 
    } 
} 

或類似的東西。當然，那麼：

[AdminOnly] 
public class AdminController : Controller 
{ 
    // ... 
}