如何在我的ASP.NET web应用程序上使用表单身份验证来最好地处理基于角色的权限?

我脑子里有几个解决办法。

1. 您可以为web.config文件中的每个页面设置限制。这将允许您使用任何文件夹层次结构。但是,无论何时添加其他页面,都需要保持web.config文件是最新的。让文件夹结构决定可访问性的好处是,在添加新页面时不必考虑它。
2. 让您的页面从自定义类(即everynepage、UserPage、AdminPage等)继承,并在页面加载例程中进行角色检查。

我以前用过的一个解决方案是:

1. 创建一个名为“SecurePage”的基页或类似的内容。
2. 将属性“AllowedUserRoles”添加到基本页,该页是用户角色列表的通用列表,或是int是角色id的列表。
3. 在任何扩展SecurePage的页面加载事件中,将每个允许的用户角色添加到AllowedUserroles属性。
4. 在基页override OnLoad()中,检查当前用户是否具有AllowedUserRoles中列出的角色之一。

这允许自定义每个页面,而不必在web.config中放入大量内容来控制每个页面。

在母版页中,我定义了一个用于切换安全检查的公共属性,默认为true。我还声明了一个字符串,它是该页所需角色的分隔列表。

在母版页的页面加载中,我执行以下操作

if (_secure)
{
  if (Request.IsAuthenticated)
  {
    if (_role.Length > 0)
    {
      if (PortalSecurity.IsInRoles(_role))
      {
        return;
      }
      else
      {
        accessDenied = true;
      }
    }
    else
    {
      return;
    }
  }
}

//do whatever you wanna do to people who dont have access.. bump to a login page or whatever

你还得把

在页面顶部,以便访问母版页的扩展属性