在基于“操作”的用户授权（二）：定义操作授权 一文中，我介绍了如何使用System.Attribute类在代码级别定义操作授权。现在来看看如何检索和验证操作授权。 检索操作授权 检索操作授权的目的是为了获取当前系统中的所有操作授权信息，以方便管理员进行授权管理。授权检索的基本方法是通过System.Reflection命名空间下的相关类获取BIN文件夹或者App_Code文件夹下的所有类，获取该类的方法信息(MethodInfo)，然后调用MehodInfo.GetCustomAttributes函数获取已经定义的授权信息。下面是从网站BIN目录中获取... [更多...]

在基于“操作”的用户授权（一）：基本分析中，我提到扩展ASP.NET安全性的基本原则是只应该在ASP.NET安全性框架内对安全性进行扩展，而不要试图去设计一套独立于ASP.NET的自定义安全性框架。这意味着我应当实现一个用户对象(Principal)，然后实现一个HttpModule将该对象的实例关联到当前的网站程序。 实现用户对象(Principal) 先来看看用户对象和用户标识的一些基本概念。 用户对象(Principal) 表示用户的安全上下文，包括用户标识和用户所属的角色，代码当前就是以该用户对象的名义运行。每个应用程序线程都可以具有一个关联的... [更多...]