¿Cómo expongo la seguridad incorporada y la administración de usuarios a una aplicación MVC?

Question

He creado un sitio web de MVC en IIS6. Usé la seguridad incorporada ASP.NET sin membresía, solo la forma en que se implementó en la solución de plantilla. Es fácil asegurar un controlador o una acción, pero ahora debo exponer la administración de usuarios a un administrador que haya iniciado sesión en el sitio. Entiendo que los controles ASP incorporados para hacer esto no son "mejores prácticas" y son un perro para trabajar. Entonces, ¿cuál es la mejor práctica para ofrecer administración de usuarios a través de una aplicación ASP.NET MVC?

Consideré usar Entity Framework y conectarlo a la miríada de procs almacenados. pero eso parece incomodo. Veo opciones para AccountMembershipService y FormsAuthenticationService. Eso es lo que usa el controlador de cuenta del proyecto existente. Pero, no soy fimilar con ninguno de los dos.

No puedo evitar pensar que esto ya debería haber estado allí desde la plantilla del proyecto. Esta es una parte fundamental de cualquier sitio web y le dieron 15%, ¿por qué no el resto?

Answer 1

Tengo la autenticación de usuario funcionando de una manera algo cuerda ahora. El mayor obstáculo que hay que superar es que está BIEN usar las clases de Membresía, aunque no estoy usando el aspecto Perfil de membresía. Es fácil obtener el nombre de usuario y hacer Membership.GetUser (UserName). Luego puede hacer muchas cosas como Desbloquear, Aprobar/Desaprobar, cambiar la contraseña y cambiar la contraseña pregunta/respuesta ... todo lo básico que necesito.

Aquí están los fundamentos:

'get current logged in user 
Dim currentUser As MembershipUser = Membership.GetUser() 

'get current logged in user name 
Dim userName = currentUser.UserName 

'get current user email 
Dim userEmail = currentUser.Email 

'get a user to edit 
Dim editingUser = Membership.GetUser(UserName) 

'set the user email 
editingUser.Email = newEmail 
Membership.UpdateUser(editingUser) 

‘unlock user 
editingUser.UnlockUser() 

‘disapprove user 
editingUser.IsApproved = False 
Membership.UpdateUser(editingUser) 

‘approve user 
editingUser.IsApproved = True 
Membership.UpdateUser(editingUser) 

‘change pw 
editingUser.ChangePassword(oldPw, newPw) 

y que es en su mayoría todo lo que hay demasiado que

Answer 2

Por lo que puedo decir, está utilizando SqlMembershipProvider como su implementación de Proveedor de membresía. Yo fuertemente sugeriría que echar un vistazo a algunos de los métodos de MembershipUser y MembershipProvider clases (como CreateUser, etc) para lograr lo que estamos tratando de hacer en lugar de trabajar con las tablas de bases de datos de base utilizados para la la implementación.

También puede echar un vistazo a this article para una introducción en profundidad a Proveedores de Membresía, Roles y Perfil de ASP.NET proveedores.

Answer 3

Salida este proyecto en CodePlex: ASP.Net MVC Membership Starter Kit

Answer 4

No sé acerca de "las mejores prácticas", pero esta es la forma en que lo haría (y la forma en que es una especie de escrito en "Professional ASP.NET MVC 1.0"):

Debe tener un proveedor de perfiles (Customized Provider Providers) personalizado y un MembershipProvider (proveedor de miembros) personalizado para que esto funcione.

Cree un controlador que maneje todas las acciones de administración de miembros, p. Ej. MemberAdminController

Este controlador debe tener el atributo Autorizar [Roles = "Administrador"] especificado de modo que todas las acciones en este controlador solo se manejarán si el usuario tiene el rol de Administrador.

Ahora puede crear las vistas y acciones de CRUD de la forma en que le gustaría usar solo este controlador.

Answer 5

En MvcCms se utilizó el RoleProvider fuera de la caja, pero convirtió el proveedor de pertenencia a la entidad.

http://mvccms.codeplex.com/SourceControl/changeset/view/56727#994414