Как разработать объектную модель пользователя с использованием ролей и членства в MS

Использование только концепции роли само по себе всегда оказывалось для меня адекватным. Он не обеспечивает достаточно низкую степень детализации для управления разрешениями. Например, у вас могут быть рабочая роль и роль администратора, а затем в коде вы используете Principal.IsInRole («Admin»), чтобы проверить их роль, чтобы определить, могут ли они изменить какое-либо значение (например, зарплату). Потом кто-то передумает и говорит, что руководители могут менять зарплату, но при этом не являются администраторами. Теперь вам нужно изменить свою проверку доступа, чтобы добавить еще одну проверку ролей. Мучительно и рутинно.

Итак, что я делаю, это составляю список всех функций в приложении, а затем разрешаю их связать с ролью в базе данных. Мои проверки доступа выглядят как primary.HasPermission («ИЗМЕНЕНИЕ ЗАПЛАТЫ»). Я загружаю разрешения пользователей в зависимости от роли, к которой они привязаны, когда они входят в систему. Таким образом, компания может создавать столько групп функций, сколько они хотят, и давать им имена. Затем их можно применить к любому пользователю.

Я создаю настраиваемый объект-принципал и присоединяю его к потоку, чтобы я мог использовать его в любом коде на протяжении всего жизненного цикла страницы. Этот объект содержит код для загрузки разрешений из базы данных и методы проверки разрешений.

Обычно я считаю, что «поставщики» в структуре хороши для небольшого класса приложений и не подходят для большинства потребностей. Когда вы закончите подчинять их своей воле, было бы проще просто написать это с нуля.

Честно говоря, это, вероятно, не очень хорошее решение, но оно может помочь родить некоторые другие идеи.

Мои роли - это все возможные комбинации разрешений:

Worker, Employee, Guest, Admin, WorkerEmployee, etc

В моем коде у меня есть перечисление для отдельных разрешений

[Flags]
public enum RolePermissions
{
    Guest = 1,
    Worker = 2,
    Employee = 4,
    Admin = 8
}

и у меня есть перечисление, соответствующее ролям в базе данных. Целочисленные значения представляют собой побитовое ИЛИ разрешений:

public enum AvailableRoles
{
    None = 0,
    Guest = RolePermissions.Guest, //1
    Worker = RolePermissions.Worker, // 2
    Employee = RolePermissions.Employee, // 4
    WorkerEmployee = RolePermissions.Worker | RolePermissions.Employee, // 6
    Admin = RolePermissions.Admin, // 8
}

Затем есть набор методов, которые я могу использовать для поиска разрешений и прочего:

// Used to determine if the currently logged in user has a particular permission (Guest, Worker, Employee, Admin)
public static bool UserHasPermission( RolePermissions rolePermssion )
{
    foreach( string role in Roles.GetRolesForUser() )
    {
        AvailableRoles availableRole = Parse( role );

        if( ( (RolePermissions)availableRole & rolePermssion ) == rolePermssion )
            return true;
    }

    return false;
}

// Used to determine whether the currently logged in user is in a specific role
public static bool UserIsInRole( AvailableRoles requestedRole )
{
    return UserIsInRole( Membership.GetUser().UserName, requestedRole );
}

// Used to determine whether a specific user is in a specific role
public static bool UserIsInRole( string username, AvailableRoles requestedRole )
{
    foreach( string role in Roles.GetRolesForUser( username ) )
    {
        AvailableRoles actualRole = Parse( role );

        if( actualRole == requestedRole )
            return true;
    }

    return false;
}

// Helper method to parse enum
private static AvailableRoles Parse( string role )
{
    return (AvailableRoles)Enum.Parse( typeof( AvailableRoles ), role );
}

Если вы предложите лучший метод или внесете улучшения, сообщите мне, и я смогу включить его обратно в свой код. :-)