MVC3訪問控制

Question

我想基於用戶權限使用自定義安全框架禁用/啓用控件。我試圖在代碼隱藏文件中使用此代碼

protected void OnLoadComplete(object sender, EventArgs e) 
     { 
      if ((ViewData[Constants.Permission]).Equals(Security.UserAccess.ReadOnlyAccess)) 
      { 
       foreach (var control in this.Page.Controls ) 
       { 
        control.IsReadOnly = true; 
       } 
      } 
     } 

但是，控件的IsReadOnly屬性不可用。有沒有辦法可以解決這個問題或更好的方法來實現這一目標？

---更新---

Controller.cs

[Proxy.AimsAccessLevel] 
    public ActionResult Edit(int clientId) 
    { 
     ClientId = clientId; 
     //SetClientDetails(); 

     var Selection = new SelectionArgs(clientId, null); 

     if (Selection.SelectionFlag == null || Selection.SelectionFlag == "N") 
      Selection.EffectiveDate = new DateTime(DateTime.Now.Year + 1, 1, 1); 

     return View(Selection); 
    } 

proxy.cs

public class AccessLevel : AuthorizeAttribute 
     { 
      protected override bool AuthorizeCore(HttpContextBase httpContext) 
      { 
       Roles = Constants.AccessLevel.FullEdit + Constants.AccessLevel.ReadOnly.ToString() + 
         Constants.AccessLevel.RestrictedEdit; 
       return base.AuthorizeCore(httpContext); 
      } 
     } 

Answer 1

你不應該使用代碼隱藏與ASP.Net MVC - 它去違反MVC的原則。視圖不應該是決定用戶是否擁有權限的事情。確定頁面是否可見屬於控制器級別。

處理權限的更好方法是在控制器上使用[Authorize]屬性。即，

public MyController : Controller 
{ 
    [Authorize(Roles = "admin")] // Uses default FormsAuthentication 
    public ActionResult Index() 
    { 
     // ... 
    } 
} 

您可以編寫自己的Authorize屬性綁定到您的自定義框架：

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)] 
public class MyAuthorizeAttribute : AuthorizeAttribute 
{ 
    public override void OnAuthorization(AuthorizationContext filterContext) 
    { 
     // ... authorization stuff here ... 
    } 
} 

然後用它在你的控制器動作：

public HomeController : Controller 
{ 
    [MyAuthorize] 
    public ActionResult Index() 
    { 
     // ... 
    } 
}