Я по сути дела этоэто, Однако всякий раз, когда я использую встроенный AuthorizeAttribute, инфраструктура MVC (я предполагаю) никогда не смотрит на моего принципала, чтобы определить, есть ли у пользователя правильные роли. Он продолжает пытаться создать новый файл MDF в каталоге app_data, и, поскольку он не имеет привилегий, он взрывается.

Это ожидаемое поведение, и я должен получить свой собственный AuthorizeAttribute и сам проверить принципал?

Еще одно странное поведение, на которое следует обратить внимание: у меня есть два сайта в одном домене, для которых я делаю единый вход. На любом сайте я использую одну и ту же библиотеку классов для воссоздания своего пользовательского принципала в AuthenticateRequest, и при отладке я вижу, что принципал правильно устанавливается на каждом сайте. Тем не менее, сайт 1 (тот, который аутентифицирует пользователя) использует встроенный AuthorizeAttribute, и он отлично работает, но сайт 2 пытается создать файл MDF, когда вызывается любое действие, имеющее AuthorizeAttribute.