Làm cách nào để hiển thị bảo mật và quản lý người dùng được tích hợp cho ứng dụng MVC?

Question

Tôi đã xây dựng một trang web MVC trên IIS6. Tôi đã sử dụng ASP.NET Security tích hợp không có tư cách thành viên, chỉ là cách nó được triển khai trong giải pháp mẫu. Nó rất dễ dàng để đảm bảo một contoller hoặc hành động, nhưng bây giờ tôi cần để lộ quản lý người dùng cho một quản trị viên đăng nhập vào trang web. Tôi hiểu rằng các điều khiển ASP được xây dựng để làm điều này không phải là "thực hành tốt nhất" và là một con chó để làm việc. Vậy thực tiễn tốt nhất để cung cấp quản lý người dùng thông qua ứng dụng ASP.NET MVC là gì?

Tôi đã xem xét sử dụng Khung thực thể và kết nối nó với vô số các procs được lưu trữ. nhưng điều đó có vẻ khó xử. Tôi thấy các tùy chọn cho AccountMembershipService và FormsAuthenticationService. Đó là những gì mà bộ điều khiển tài khoản dự án hiện có sử dụng. Nhưng, tôi cũng không phải là fimilliar.

Tôi không thể không nghĩ rằng điều này đáng lẽ đã có trong mẫu dự án. Đây là một phần cơ bản của bất kỳ trang web nào và bạn được tặng 15%, tại sao không phải là phần còn lại?

Answer 1

Tôi có quyền tác giả của người dùng theo cách hơi điên cuồng. Rào cản lớn nhất để vượt qua là nó là ok để sử dụng các lớp thành viên, mặc dù tôi không sử dụng các khía cạnh hồ sơ của thành viên. Nó rất dễ dàng để có được tên người dùng và làm Membership.GetUser (UserName). Sau đó, bạn có thể thực hiện nhiều việc như Mở khóa, Phê duyệt/Không chấp thuận, thay đổi mật khẩu và thay đổi câu hỏi/câu trả lời mật khẩu ... tất cả những điều cơ bản tôi cần.

Dưới đây là những điều cơ bản:

'get current logged in user 
Dim currentUser As MembershipUser = Membership.GetUser() 

'get current logged in user name 
Dim userName = currentUser.UserName 

'get current user email 
Dim userEmail = currentUser.Email 

'get a user to edit 
Dim editingUser = Membership.GetUser(UserName) 

'set the user email 
editingUser.Email = newEmail 
Membership.UpdateUser(editingUser) 

‘unlock user 
editingUser.UnlockUser() 

‘disapprove user 
editingUser.IsApproved = False 
Membership.UpdateUser(editingUser) 

‘approve user 
editingUser.IsApproved = True 
Membership.UpdateUser(editingUser) 

‘change pw 
editingUser.ChangePassword(oldPw, newPw) 

và đó là hầu hết tất cả những gì quá là nó

Answer 2

Theo như tôi có thể biết, bạn đang sử dụng SqlMembershipProvider làm việc triển khai Nhà cung cấp tư cách thành viên của mình. Tôi thực sự khuyên bạn nên xem xét một số phương pháp của các lớp MembershipUser và MembershipProvider (chẳng hạn như CreateUser, v.v.) để đạt được những gì bạn đang cố gắng làm thay vì làm việc với các bảng cơ sở dữ liệu bên dưới được sử dụng cho việc thực hiện.

Bạn cũng có thể xem this article để biết giới thiệu chi tiết về số Tư cách thành viên, vai trò và hồ sơ của ASP.NET.

Answer 3

Kiểm tra dự án này tại CodePlex: ASP.Net MVC Membership Starter Kit

Answer 4

Tôi không biết về "thực hành tốt nhất", nhưng đây là cách tôi sẽ làm điều đó (và làm thế nào nó được loại viết bằng "Professional ASP.NET MVC 1.0"):

Bạn nên có một tùy chỉnh (hoặc mặc định) ProfileProvider và MembershipProvider tại chỗ để làm việc này.

Tạo bộ điều khiển xử lý tất cả các tác vụ quản lý thành viên, ví dụ: Thành viênAdminController

Bộ điều khiển này phải có thuộc tính Authorize [Roles = "Administrator"] được chỉ định để tất cả các hành động trong bộ điều khiển này sẽ chỉ được xử lý nếu người dùng có vai trò Quản trị viên.

Bây giờ bạn có thể xây dựng các chế độ xem CRUD và hành động như thế nào bạn muốn chỉ sử dụng bộ điều khiển này.

Answer 5

Trong MvcCms chúng tôi sử dụng RoleProvider out of the box nhưng chuyển đổi nhà cung cấp thành viên giao cho tổ chức.

http://mvccms.codeplex.com/SourceControl/changeset/view/56727#994414