Вопрос: Проверка подлинности mvc windows позволяет всем пользователям из домена


У меня есть приложение mvc intranet, использующее проверку подлинности Windows. В настоящее время он имеет один контроллер с тремя действиями.

Первое действие (индекс) должно быть доступно всем, это не проблема. Второе и третье действия должны быть доступны только пользователям в DOMAIN. Тем не менее <Authorize()> tag дает мне только 2 варианта: Роли или Пользователи. Я попытался использовать пользователей и установил его в DOMAIN * и DOMAIN \? но это не работает.

Я искал по всему Интернету, но, похоже, не могу найти способ сделать то, что хочу. Я надеюсь, что кто-то здесь поможет мне!

Спасибо


3


источник


Ответы:


использование DOMAIN\Domain Users как имя роли. Его встроенная группа, содержащая, как вы догадались, все пользователи в домене.


10



Добавляя к тому, что упоминалось в jrummel, украсьте свой контроллер или действие следующим:

[Authorize(Roles = "DOMAIN\Domain Users")]

Это позволит пользователям только в определенной роли (в этом могут пользователи определенного домена) получить доступ к контроллеру / действию (в зависимости от того, что вы украшаете). Кроме того, вы можете создать свой собственный атрибут авторизации для доменов:

/// <summary>
/// Specified which domains a user should belong to in order to access the decorated
/// controller/action
/// </summary>
public class DomainAuthorizeAttribute : AuthorizeAttribute
{
    private String[] domains = new String[0];

    /// <summary>
    /// List of acceptable domains
    /// </summary>
    public String[] Domains
    {
        get { return this.domains; }
        set { this.domains = value; }
    }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        if (httpContext == null)
        {
            throw new ArgumentNullException("httpContext");
        }

        // User not logged in
        if (!httpContext.User.Identity.IsAuthenticated)
        {
            return false;
        }

        // No roles to check against
        if (this.Domains.Length == 0)
        {
            return true;
        }

        // check if they're on any of the domains specified
        String[] roles = this.Domains.Select(d => String.Format(@"{0}\Domain Users", d)).ToArray();
        if (roles.Any(httpContext.User.IsInRole))
        {
            return true;
        }

        return false;
    }
}

Что-то вроде этого должно позволить вам сделать:
[DomainAuthorize(Domains = new[]{ "DOMAIN1", "DOMAIN2" })]


5



Для заинтересованных людей, вот версия VB приведенного выше фрагмента кода:

''' <summary>
''' Specified which domains a user should belong to in order to access the decorated
''' controller/action
''' </summary>
Public Class DomainAuthorizeAttribute
    Inherits AuthorizeAttribute
    Private m_domains As [String]() = New [String](-1) {}

    ''' <summary>
    ''' List of acceptable domains
    ''' </summary>
    Public Property Domains() As [String]()
        Get
            Return Me.m_domains
        End Get
        Set(value As [String]())
            Me.m_domains = value
        End Set
    End Property

    Protected Overrides Function AuthorizeCore(httpContext As HttpContextBase) As Boolean
        If httpContext Is Nothing Then
            Throw New ArgumentNullException("httpContext")
        End If

        ' User not logged in
        If Not httpContext.User.Identity.IsAuthenticated Then
            Return False
        End If

        ' No roles to check against
        If Me.Domains.Length = 0 Then
            Return True
        End If

        ' check if they're on any of the domains specified
        Dim roles As [String]() = Me.Domains.[Select](Function(d) [String].Format("{0}\Domain Users", d)).ToArray()

        For Each r In roles
            If httpContext.User.IsInRole(r) Then
                Return True
            End If
        Next

        Return False
    End Function
End Class

Надеюсь, это будет полезно для кого-то! (Весь кредит принадлежит Брэду Кристи)


2