مدیریت دسترسی کاربران به بخش های مختلف برنامه با Identity

[mmbguide]

سلام دوستان

1. فرض کنید حدود 10 تا صفحه دارم که در تمام 10 صفحه امکاناتی جهت انجام عملیات Add, Delete, Edit, Print, Report و... وجود داره.
2. در حالت عالی می خوام برای گروهی از کاربران امکان Print را فراهم کنم و برای گروه دیگه خیر. اما نمیخوام که این قابلیت سراسری باشه.
3. مثلا کاربر A بتونه تو 3 صفحه امکان Print داشته باشه و در مابقی صفحات نداشته باشه.
4. همچنین امکان این وجود داشته باشه که مدیر برنامه در لحظه سطح دسترسی را تغییر بده.

سوال:

1. چطور میشه با Identity و Claim این شرایط را فراهم کرد؟ آیا باید به ازای تمام Controllerها و متدهایی که در برنامه وجود داره برای کاربر یک Claim ایجاد کنم؟
2. در دوره آموزشی مهندس کرامتی این موضوع در Net Framework با ستفاده از پیاده سازی یک سیستم سفارشی انجام شده بود که برنامه یکبار یک لیست جامع از تمام Controllerها و متدها ایجاد میکرد و مدیر برنامه میتونست به هر کاربر هر متدی را تخصیص بده و تمام Requestهای برنامه با استفاده از ActionFilter بررسی میشدند که ایا متد جاری به کاربر در بانک اطلاعاتی تخصیص داده شده است یا خیر و اگر وجود نداشت پاسخ AccessDenied ارسال میشد. خوبی این روش این بود که در لحظه میشد دسترسی کاربران تغییر داد و نیازی به ویرایش کدهای برنامه به منظور تعیین Roleها نبود و قطعا نیازی هم نبود که برنامه یکبار build بشه و دوباره بارگذاری بشه.
3. با توجه به موارد بالا چطور میشه با Identity چیزی مشابه مورد بالا را پیاده سازی کرد؟ در واقع بدون ویرایش کدها میخوام در لحظه دسترسی به یک کاربر را اضافه و یا کم کنم.

تشکر

[fakhravari]

Claim چون با کوکی هست در زمان لاگین میتونی یک سری تگ ها مثل (صفحه و دکمه و ... با حروف انگلیسی تعریف کنی به صورت ارایه) درون یک کلیم بریزی

ولی برای چک کردن یک اکشن لازم داری

using BLL.Interfaces;using Microsoft.AspNetCore.Authorization;

using Microsoft.AspNetCore.Mvc;

using Microsoft.AspNetCore.Mvc.Filters;





namespace WebAdmin.Models

{

    public class PermissionCheckerAttribute : AuthorizeAttribute, IAuthorizationFilter

    {

        private string _IdRoles = "0";

        private IPersonnel _ip;

        public PermissionCheckerAttribute(string IdRoles)

        {

            _IdRoles = IdRoles;

        }





        public void OnAuthorization(AuthorizationFilterContext context)

        {

            try

            {

                _ip = (IPersonnel)context.HttpContext.RequestServices.Ge  tService(typeof(IPersonnel));





                if (context.HttpContext.User.Identity.IsAuthenticated  )

                {

                    long IdUser = long.Parse(context.HttpContext.User.Identity.Name)  ;





                    if (_IdRoles != "0" && _ip.UserIsRole(IdUser, _IdRoles) == false)

                    {

                        context.Result = new RedirectResult("/Account/Login");

                    }

                }

                else

                {

                    context.Result = new RedirectResult("/Account/Login");

                }

            }

            catch

            {

                context.Result = new RedirectResult("/Account/Login");

            }

        }

    }

}

namespace WebAdmin.Controllers{

    [Models.PermissionChecker("4,43")]

    public class AttributeController : Controller

    {

[mmbguide]

ضمن تشکر آنچه که متوجه شدم کدهای بالا برمبنای Role کاربر تنظیم شده. البته اگر درست متوجه شده باشم.

سوالم این هستش که فرض میکنم که برنامه من دوتا صفحه داره که تمام کاربران با Role = User میتوانند به دکمه Print که یک متد را فراخوانی میکنه دسترسی داشته باشند. حالا فقط یک کاربر است که میخوام در صفحه شماره P1 بتواند Print را اجرا کند ولی در صفحه P2 نتواند دستور Print را اجرا کند اگرچه که دسترسی به هر دو متد برای کاربران Role = User هستش. آنچه که به ذهن من میرسه این هستش که در بانک اطلاعاتی برای هر کاربر دسترسی به متد رو تعریف کنم و در PermissionCheckerAttribute ابتدا بانک اطلاعاتی بررسی شود و در صورت تخصیص دادن متد مورد نظر به کاربر جاری، امکان اجرای دستور وجود داشته باشد.

آیا این روش میتونه استاندارد و منطقی باشه؟ البته میشه عکس قضیه را هم پیاده کرد. تمامی کاربران مطابق آنچه که بصورت Hard Code مجاز می باشند بتوانند در برنامه فعالیت کنند ولی یک جدول ممنوعیت دسترسی ایجاد کنیم و کسی که نباید استثنائا به متد خاصی دسترسی داره بشه اون رو محدود کنم. اینطوری حجم داده های بانک اطاعاتی کمتر میشه.

ممنون اگر راهنمایی کنید.

[fakhravari]

ضمن تشکر آنچه که متوجه شدم کدهای بالا برمبنای Role کاربر تنظیم شده. البته اگر درست متوجه شده باشم.

سوالم این هستش که فرض میکنم که برنامه من دوتا صفحه داره که تمام کاربران با Role = User میتوانند به دکمه Print که یک متد را فراخوانی میکنه دسترسی داشته باشند. حالا فقط یک کاربر است که میخوام در صفحه شماره P1 بتواند Print را اجرا کند ولی در صفحه P2 نتواند دستور Print را اجرا کند اگرچه که دسترسی به هر دو متد برای کاربران Role = User هستش. آنچه که به ذهن من میرسه این هستش که در بانک اطلاعاتی برای هر کاربر دسترسی به متد رو تعریف کنم و در PermissionCheckerAttribute ابتدا بانک اطلاعاتی بررسی شود و در صورت تخصیص دادن متد مورد نظر به کاربر جاری، امکان اجرای دستور وجود داشته باشد.

آیا این روش میتونه استاندارد و منطقی باشه؟ البته میشه عکس قضیه را هم پیاده کرد. تمامی کاربران مطابق آنچه که بصورت Hard Code مجاز می باشند بتوانند در برنامه فعالیت کنند ولی یک جدول ممنوعیت دسترسی ایجاد کنیم و کسی که نباید استثنائا به متد خاصی دسترسی داره بشه اون رو محدود کنم. اینطوری حجم داده های بانک اطاعاتی کمتر میشه.

ممنون اگر راهنمایی کنید.

میشه دسترسی دیتابیسی کاربر هم چک کرد با تابع بالا

[mmbguide]

تشکر از شما