我正在研究asp.net核心以及新的安全策略和声明功能 . 刚刚看过它,我看不出它比过去现有的授权属性逻辑更好,硬件编码的角色或用户在控制器,方法等上进行了装饰 . 对我来说,问题刚刚从将属性编码为硬编码策略 .
理想情况下,我想执行基于活动/资源的授权,其中一切都将由数据库驱动 . 每个活动或资源都将存储在数据库中,并且权限/角色将分配给该资源 .
在研究这个主题时,我发现Stefan Wloch写的这篇精彩文章几乎涵盖了我正在寻找的内容 .
http://www.codeproject.com/Articles/1079552/Custom-Roles-Based-Access-Control-RBAC-in-ASP-NE
所以我的问题是新的核心功能如何在更改允许访问控制器中的控制器或方法的角色/权限时,如何阻止我们进行硬编码和重新编译?我理解索赔如何用于存储任何东西,但政策部分似乎容易改变,这让我们回到原点 . 不要误会我的意思,喜欢asp.net核心和所有重大变化,只是寻找有关如何处理授权的更多信息 .