我有一个用asp.net mvc编写的web应用程序,具有流畅的nhibernate.

Data hierarchy: Post -> Category ->
Company

User roles : user, admin

我试图找到一个开发自定义授权的架构.用户可以是多个公司的成员.用户也可以是公司的管理员,而他也可以是另一家公司的成员.

我们还希望基于控制器,动作或动作ID开发自定义授权.例如,用户可以只管理一个类别.
即;在我们未来的系统中,将存在用户和用户组,其中用户和组属于公司.虽然将根据url(contoller / action / id)对其应用自定义授权.

任何推荐,有用的链接等？

最佳答案 实际上这有点棘手 – 您可能想重新考虑自定义授权并考虑填写说明Application_AuthenticateRequest中的角色,然后使用[Authorize]属性进行实际检查,如果用户属于这些角色.这样您就可以申请了它直接对动作方法和避免自定义混乱,但实现基本相同的结果.

我们正在进行类似的讨论,但尚未解决：
Questions about a Custom Security setup for MVC3 using overridden AuthorizeAttribute, thread safety, ChildActions and caching